Identité numérique et identification électronique D. n° 2019-452, 13 mai 2019, identification électronique ’Authentification en ligne certifiée sur mobile’

Le 16 mai 2019, par Geneviève Koubi,

Le voyage dans le monde de Big Brother se poursuit. L’accumulation des traitements automatisés de données à caractère personnel destinés à pister tout individu continue. Les risques liés aux usages de la technologie sans contact s’amplifient… Et ce qui est aujourd’hui présenté comme un choix, comme une possibilité, « la création d’une identité numérique », risque bien de devenir à terme une obligation [1]....

Voici qu’un décret, le décret n° 2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé ’Authentification en ligne certifiée sur mobile’, ajoute aux modes d’identification le téléphone portable. La notice du décret l’expose explicitement : « Le décret autorise la mise en œuvre d’un moyen d’identification électronique qui permet de proposer aux utilisateurs d’un équipement terminal de communications électroniques (téléphone portable) doté d’un dispositif de lecture sans contact, une application dénommée ALICEM [2]. Ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » à partir des passeports biométriques ou des titres de séjour étrangers électroniques et biométriques. »

Cependant, dans cette notice, il n’est pas précisé que le traitement en cause, dénommé ALICEM, « utilise un système de reconnaissance faciale statique et de reconnaissance faciale dynamique. » [3] Cette disposition, insérée au premier alinéa de l’article 4 du décret, ne paraît-elle pas troublante dans un domaine où se jouent tant de libertés fondamentales ? Certes, il est ajouté au second alinéa de même article que « le traitement ne comporte pas de dispositif de recherche permettant l’identification à partir de l’image numérisée du visage », mais la contradiction entre ces deux positionnements persiste. A ce propos, la CNIL ne fait que noter dans son avis n° 2018-342 du 18 octobre 2018, que le processus de vérification de l’identité « prend la forme d’un traitement biométrique de reconnaissance faciale à partir d’une vidéo prise en temps réel par l’utilisateur qui doit réaliser une série de défis imposés par l’application (clignement des yeux, mouvement de la tête, mouvement du visage, etc.) », cette vidéo étant ensuite « envoyée sur les serveurs de l’Agence nationale des titre sécurisés ». Aucune remarque quant aux risques que supposent ces développements d’un pistage des individus n’est signifiée.

Pourtant, l’article 1 du décret indique clairement que le traitement automatisé de données à caractère personnel ’Authentification en ligne certifiée sur mobile’ a pour finalité de proposer aux titulaires de passeport ou titre de séjour comportant un composant électronique « la délivrance d’un moyen d’identification électronique leur permettant de s’identifier électroniquement et de s’authentifier auprès d’organismes publics ou privés, au moyen d’un équipement terminal de communications électroniques doté d’un dispositif permettant la lecture sans contact du composant électronique de ces titres, en respectant les dispositions prévues par le règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 ..., notamment les exigences relatives au niveau de garantie requis par le téléservice concerné. » [4]

Selon les indications données par la CNIL en son avis du 18 octobre 2018, la création de l’identité numérique suppose l’ouverture d’un compte sur l’application ALICEM, et la personne concernée, dotée d’un passeport biométrique, y inscrit son adresse électronique et son numéro de téléphone (sous système Androïd), et se dote d’un mot de passe pour une activation de ce compte… La notice du décret indique que le traitement ALICEM est ainsi en capacité de « lire les données enregistrées dans le composant électronique des passeports et des titres de séjour étrangers, à l’exception de l’image numérisée des empreintes digitales. Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect. Le décret définit les finalités de ce traitement, la nature et la durée de conservation des données traitées et enregistrées ainsi que les catégories de personnes ayant accès à ces données. Il précise les droits des personnes concernées. » [5]

C’est à propos de la création de l’identité numérique et de l’activation du compte correspondant que la CNIL s’interroge plus particulièrement - alors même qu’elle a admis du bout des lèvres les finalités générales du traitement ALICEM [6]. Deux points sont particulièrement soulignés : l’enregistrement de données sensibles (dont relèvent les données biométriques) [7] ; le consentement au traitement, lequel « doit être libre, spécifique, éclairé et univoque ». En insistant sur le consentement de la personne concernée, la CNIL souligne indirectement le fait que la création d’une identité numérique ALICEM doit rester facultative comme l’utilisation du compte : « le refus du traitement des données biométriques fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du compte ». Néanmoins, l’article 13 du décret reste bien trop laconique en la matière : « L’Agence nationale des titres sécurisés procède, au moment de la demande d’ouverture du compte … à l’information de l’usager concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques. »

Cependant, la CNIL ne retient expressément, dans le cadre de la fourniture d’un service [8] - par le biais de téléservices liés à FranceConnect - , que « le consentement n’est libre que si le traitement de ces données (données personnelles) est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée ».

...

Nul ne doute de l’enjeu de la mobilité permanente, de la portabilité constante des données... Cependant, en régularisant à l’aide de ce décret les systèmes d’identification "sans contact", le gouvernement s’engage dans une ligne de politique sociale d’exclusion, car outre les personnes qui, instruites des risques que comportent ces systèmes et qui n’y consentiraient pas, celles qui ne disposent pas de téléphone portable resteraient à la marge..

...

Notes :

[1] … du moins pour les personnes pourvues d’un téléphone portable conçu comme un prolongement d’elles-mêmes !

[2] Cet acronyme signifiait à l’origine : « Application de lecture de l’identité d’un citoyen en mobilité ».

[3] La phase reconnaissance statique correspond à la comparaison entre la photographie présente sur le titre et la photographie extraite de la vidéo de reconnaissance faciale en temps réel - phase dynamique - de la personne en possession du téléphone portable.

[4] La redondance « moyen d’identification électronique leur permettant de s’identifier électroniquement » prêterait à sourire si les enjeux n’étaient pas aussi équivoques, notamment en ce que l’identification ainsi signifiée peut se réaliser devant des organismes privés… (encore que privatisations et externalisations rendraient la remarque obsolète).

[5] Il y est encore signalé que : « Le décret modifie également l’article R. 611-1 du code de l’entrée et du séjour des étrangers et du droit d’asile afin d’enregistrer les titres de séjour des ressortissants étrangers dans le fichier national de contrôle de la validité des titres et de permettre le contrôle de leur validité. »

[6] Le traitement alors projeté n’étant pas « nécessaire pour des motifs d’intérêt public important ».

[7] L’article 7 du décret n° 2019-452 du 13 mai 2019 donne la liste des données à caractère personnel et informations permettant l’identification de l’usager : « a) Le nom ; b) Le nom d’usage ; c) Le(s) prénom(s) ; d) La date de naissance ; e) Le pays de naissance ; f) Le département de naissance ; g) Le lieu de naissance ; h) La nationalité ; i) Le sexe ; j) La taille et la couleur des yeux ; k) L’adresse postale ; l) La photographie de l’usager extraite du titre ; m) La photographie de l’usager prise avec son équipement terminal de communications électroniques pour la reconnaissance faciale ; n) La vidéo prise par l’usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ; o) L’adresse électronique ; p) Le numéro d’appel de l’équipement terminal de communications électroniques ; q) L’identifiant technique associé au compte de l’usager » ; ainsi que celles permettant l’identification du titre détenu par l’usager : « a) Le numéro du titre ; b) L’autorité de délivrance ; c) La date de délivrance ; d) La date d’expiration ; e) La clé publique permettant de certifier l’authenticité du titre ».

[8] Et, au vu de l’article 7 du décret, les données relatives à l’historique des transactions associées au compte ALICEM enregistrées sont : « a) Le nom du fournisseur de service ; b) La catégorie de la transaction ; c) Une description courte du fournisseur de service ; d) Une description longue du fournisseur de service ; e) Le statut de la transaction ; f) La date de la transaction ; g) La date de mise à jour de la transaction ; h) La date d’expiration de la transaction ; i) La priorité de la transaction ».

RSS 2.0 | Espace privé
Visiteurs par jour (cumul) : 1226 (447584)