ALICEM : la biométrie de l'identité numérique sur mobile fait tiquer la CNIL

ALICEM : la biométrie de l’identité numérique sur mobile fait tiquer la CNIL

Face2Face

Avatar de l'auteur
Marc Rees

Publié dans

Droit

16/05/2019
23

ALICEM : la biométrie de l'identité numérique sur mobile fait tiquer la CNIL

S’identifier sur un service en ligne officiel avec une application biométrique. Voilà l’ambition d’un décret publié ce matin au Journal officiel. Le texte a toutefois suscité des critiques de la CNIL, fondées sur le règlement général sur la protection des données personnelles, pointilleux sur la question de la reconnaissance faciale.

Ce décret au J.O. paru ce jour crée un nouveau moyen d'identification électronique, l’ « Authentification en ligne certifiée sur mobile » ou ALICEM. Derrière ce bel acronyme, les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique vont bientôt pouvoir se créer « une identité numérique » à partir de leur titre.

La procédure se fera sur smartphone, via une application mobile, avec pour finalité l’identification et l’authentification auprès des fournisseurs de services en ligne publics ou privés et avant tout, FranceConnect (notre actualité).

Ce système de reconnaissance se fera « au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact », explique le décret. Le texte évoque aussi un système de reconnaissance faciale, au besoin « dynamique ». Pour permettre la délivrance de cette clef d'identification électronique, à chaque utilisation de l'application, le traitement se mettra jonction avec le fichier national de contrôle de la validité des titres.

Des données stockées sur mobile, d'autres centralisées

Le traitement enregistre avant tout une ribambelle de données personnelles :

Des données d’identification de l'usager :

  • Le nom ;
  • Le nom d'usage ;
  • Le(s) prénom(s) ;
  • La date de naissance ;
  • Le pays de naissance ;
  • Le département de naissance ;
  • Le lieu de naissance ;
  • La nationalité ;
  • Le sexe ;
  • La taille et la couleur des yeux ;
  • L'adresse postale ;
  • La photographie de l'usager extraite du titre ;
  • La photographie de l'usager prise avec son équipement terminal de communications électroniques pour la reconnaissance faciale ;
  • La vidéo prise par l'usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;
  • L'adresse électronique ;
  • Le numéro d'appel de l'équipement terminal de communications électroniques ;
  • L'identifiant technique associé au compte de l'usager ;

Des données permettant l'identification du titre détenu par l'usager :

  • Le numéro du titre ;
  • L'autorité de délivrance ;
  • La date de délivrance ;
  • La date d'expiration ;
  • La clé publique permettant de certifier l'authenticité du titre ;

Des données relatives à l'historique des transactions associées au compte ALICEM :

  • Le nom du fournisseur de service ;
  • La catégorie de la transaction ;
  • Une description courte du fournisseur de service ;
  • Une description longue du fournisseur de service ;
  • Le statut de la transaction ;
  • La date de la transaction ;
  • La date de mise à jour de la transaction ;
  • La date d'expiration de la transaction ;
  • La priorité de la transaction ;

Enfin « l'identifiant unique du service de notification, aux fins d'identification de l'équipement terminal de communications électroniques ».

L'accès et la transmission de ces données personnelles

Pour l’heure, seuls peuvent accéder à une partie des données enregistrées les agents des services du ministère de l'Intérieur chargés de la maîtrise d'ouvrage du traitement et ceux de l'Agence nationale des titres sécurisés, chargés de la maîtrise d'œuvre, tous étant « individuellement désignés et habilités par leur directeur ».

Ces données sont la taille et la couleur des yeux, l’adresse de la postale, la photo du titre, la photographie de l'usager prise avec son smartphone, pour la reconnaissance faciale ou la vidéo pour la partie dynamique, le mail, le numéro d'appel de l'équipement terminal de communications électroniques, l'identifiant technique associé au compte de l'usager.

Mais l’accès et la transmission ne sont pas deux opérations identiques. Seront destinataires des données personnelles comme le nom, l’adresse, le mail, etc. la DINSIC (direction interministérielle du numérique et du système d'information et de communication de l'État), les fournisseurs de téléservices liés par convention à FranceConnect ou à l'Agence nationale des titres sécurisés.

Elles seront conservées pour certaines sur l’appareil mobile, jusqu’à désinstallation de l’application ALICEM. D’autres données seront centralisées aux fins de contrôle.

Le décret instaurant le fichier TES est au passage modifié. Son article 3 mis à jour prévoit que les données inscrites dans la puce du passeport pourront dorénavant être lues par le traitement ALICEM, « à l'exclusion de l'image numérisée des empreintes digitales ».

Le texte cosigné du Premier ministre et du ministre de l’Intérieur n’a toutefois pas laissé insensible la CNIL. 

Une solution taillée pour Android, non rooté

Son avis est précieux déjà parce qu’il détaille le mode opératoire : ce dispositif fonctionnera uniquement sur Android pour l’heure (système non « rooté »). À la création d’un compte sur l’application ALICEM, l’utilisateur saisira son mail, son numéro de téléphone et un mot de passe. Une  lecture optique se fera de la bande MRZ des passeports et les données contenues dans la puce embarquée seront lues sans contact. Les données d’État civil, l’adresse et la photographie de l’utilisateur seront enfin transmises.

Pour contrôler le titre, une interrogation de DOCVERIF sera opérée. Un utilisateur disposant d’un titre valide pourra alors se créer d’identité numérique. À défaut, la porte lui sera fermée.

L’activation de l’application se fera par vérification d’un traitement biométrique par reconnaissance faciale à partir d’une vidéo prise en temps réel.

L’utilisateur devra réaliser plusieurs « défis » comme cligner des yeux, bouger sa tête, son visage. La vidéo est alors adressée à l’Agence nationale des titres sécurisés qui comparera une des photos extraites de la vidéo avec celle enregistrée dans le titre. Ces traces seront ensuite détruites. C’est seulement après ce tunnel de vérifications qu’une identité numérique pourra être effectivement générée.

La biométrie et le RGPD : un consentement non libre, sans alternative

Sans surprise, c’est sur l’autel du RGPD que la commission a analysé ce système. L’autorité prend note que le consentement de la personne est la pierre angulaire du traitement, en ce sens que l’utilisateur devra donner son feu vert. Néanmoins, l’autorité indépendante rappelle qu’un consentement n’est libre « que si le traitement de données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée ».

C’est là que la CNIL fronce des sourcils. Le refus du traitement biométrique engendre l’impossibilité de se doter d’une identité numérique. Or, la commission reproche à l’Intérieur cette alternative basique alors qu’il est pourtant possible « de recourir à des dispositifs alternatifs de vérification », autre que la biométrie.

Des dispositifs alternatifs ? La CNIL cite plusieurs exemples comme un face à face en préfecture, un appel vidéo avec un agent de l’ANTS ou pourquoi pas l’envoi manuel de la vidéo.

Certes le ministère pourrait toujours fonder ces traitements par « des motifs d'intérêt public important », une autre des justifications de l’article 9 du RGPD, mais pour l’heure le dossier est trop maigre, faute d’ « éléments de démonstration complémentaires ».  

La CNIL a suggéré donc que des solutions alternatives soient trouvées « afin de vérifier de l’identité alléguée par la personne créant son compte » et surtout respecter l’article 9.1 s’agissant du consentement libre, spécifique, éclairé et univoque. Ces alternatives n’étant pas prévues dans le texte publié au J.O., l’interdiction de principe des traitements biométriques posée par l’article 9.1 du RGPD devrait persister.  Nous avons contacté la CNIL pour connaître l'évolution de ce dossier. Nous y reviendrons une fois sa réponse obtenue. 

23

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Des données stockées sur mobile, d'autres centralisées

L'accès et la transmission de ces données personnelles

Une solution taillée pour Android, non rooté

La biométrie et le RGPD : un consentement non libre, sans alternative

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (23)


Le 16/05/2019 à 16h 09

Mais quel bénéfice on entend tirer de ce Décret que l’actuel fonctionnement de FranceConnect ne permet pas déjà ?



Sauf à prendre le risque de voir fuiter des gabaries biométriques et des images de visages, voire que ces informations soient détournées pour d’autres finalités (renseignement par exemple), pourquoi aller chercher le biométrique pour créer une identité numérique au regard de la sensibilité de telles informations ?



Pourquoi ne pas prévoir qu’on peut se faire identifier en mairie (comme c’est déjà le cas) par exemple, comme alternative à ce système biométrique totalement disproportionné et qui va soulever, à tort ou à raison, des interrogations sur les arrières pensées du gouvernement ?


refuznik Abonné
Le 16/05/2019 à 16h 22

Et surtout comment alourdir les démarches normalement simple des citoyens.


Le 16/05/2019 à 17h 02







refuznik a écrit :



Et surtout comment alourdir les démarches normalement simple des citoyens.





Oui au passage, parce que si c’est plus compliqué de se créer une identité numérique que l’ancien système, l’e-administration va se traduire par le renoncement des usagers à utiliser les services publics…



Ami-Kuns Abonné
Le 16/05/2019 à 17h 13

Étonné, qu’il n’est pas demandé un séquençage ADN dans la foulé.<img data-src=" />


Jarodd Abonné
Le 16/05/2019 à 18h 22







crocodudule a écrit :



et qui va soulever, à tort ou à raison, des interrogations sur les arrières pensées du gouvernement ?





Ca fait un moment que les gouvernements successifs ne cachent plus leurs desseins sur le recueil des données biométriques à des fins de fichage de la population. Le fichier TES, c’est 2016, et on peut remonter encore plus loin…



M4tthieu Abonné
Le 16/05/2019 à 18h 55

Je crois que tu as trouvé toi-même les éléments de réponse.


Le 16/05/2019 à 21h 46







crocodudule a écrit :



Mais quel bénéfice on entend tirer de ce Décret que l’actuel fonctionnement de FranceConnect ne permet pas déjà ?







Tout d’abord l’usage de la biométrie est déjà en place sur FranceConnect avec le fournisseur d’identité mobileconnectetmoi.fr Pour s’y inscrire, il suffit de se photographier (selfie) et de photographier un document d’identité comme sa carte d’identité. Si les deux visages correspondent l’identité numérique est créée à partir des éléments reconnus sur le document. Le téléphone devient un identifiant FranceConnect, avec un simple code secret supplémentaire.

Donc la question de la biométrie aurait dû être posée avant avec le fournisseur d’identité mobileconnectetmoi.fr



Note : je ne sais pas si la machine peut valider seule la correspondance entre les visages du document d’identité et du porteur du téléphone ou si elle toujours aidée d’un humain.



Je reviens sur la question du bénéfice attendu avec ce décret et le fournisseur d’identité Alicem : une identification eIDAS de niveau 2, voire forte de niveau 3, grâce à

l’usage de la puce du titre électronique pour faire une signature cryptographique. Le téléphone communique avec la puce sans contact du titre électronique, et peut l’utiliser pour signer l’identité avec la clé secrète du titre.

Donc le bénéfice est une identité de niveau 2 ou 3, qui sera reconnue dans toute l’Europe (je crois que les identités niv 1 resteront dans leur pays d’origine).



Quelques explicationshttps://sd-magazine.com/identite/lidentite-numerique-forte-tabou-a-consecration



Le 17/05/2019 à 05h 41

Le plus drôle avec ce genre de système c’est que l’application qui glanera toutes ce infos sera soumis au CGV de Google et Apple… Et je doute que l’application sera open source et mise sur F-Droid…



Je suis aller regarder d’ailleurs rapidement, 1 tracker pour l’appli Ameli, 4 pour Pôle Emploi


fofo9012 Abonné
Le 17/05/2019 à 06h 20

La différence majeure c’est que mobileconnectetmoi.fr n’est qu’un des moyens optinnel pour créer un compte. Tu peux également simplement utiliser ton login / mdp des impôts par exemple pour créer le lien France Connect vers tous les autres services de l’état.



Si tu gardes d’autres moyens de créer un compte y’a pas franchement de sécurité : la sécurité de la plateforme se résume à celle du maillon le plus faible. (en gros intercepter un des courriers où c’est écrit en gros “Fiche d’impot” sur l’enveloppe :-o )



A sinon j’oubliais RGPD n’est pas rétroactif, ce qui a été fait avec mobileconnectetmoi.fr n’est visiblement plus forcément autorisé.


jpaul Abonné
Le 17/05/2019 à 07h 12







slemaire a écrit :



Tout d’abord l’usage de la biométrie est déjà en place sur FranceConnect avec le fournisseur d’identité mobileconnectetmoi.fr Pour s’y inscrire, il suffit de se photographier (selfie) et de photographier un document d’identité comme sa carte d’identité. Si les deux visages correspondent l’identité numérique est créée à partir des éléments reconnus sur le document. Le téléphone devient un identifiant FranceConnect, avec un simple code secret supplémentaire.

Donc la question de la biométrie aurait dû être posée avant avec le fournisseur d’identité mobileconnectetmoi.fr



Note : je ne sais pas si la machine peut valider seule la correspondance entre les visages du document d’identité et du porteur du téléphone ou si elle toujours aidée d’un humain.



Je reviens sur la question du bénéfice attendu avec ce décret et le fournisseur d’identité Alicem : une identification eIDAS de niveau 2, voire forte de niveau 3, grâce à

l’usage de la puce du titre électronique pour faire une signature cryptographique. Le téléphone communique avec la puce sans contact du titre électronique, et peut l’utiliser pour signer l’identité avec la clé secrète du titre.

Donc le bénéfice est une identité de niveau 2 ou 3, qui sera reconnue dans toute l’Europe (je crois que les identités niv 1 resteront dans leur pays d’origine).



Quelques explicationshttps://sd-magazine.com/identite/lidentite-numerique-forte-tabou-a-consecration





Quoi ? Tu veux dire qu’il existerai déjà une option d’identification sécurisée, standard, et sans fichage mais qu’on préfère faire un énième truc de fichage maison, bancal, dangereux et qui exclue toute une frange de la population ? (Pas de smartphone, iOS, Androïd rooté)



Lienrag31 Abonné
Le 17/05/2019 à 07h 31

Il y a un autre service qui permet ça, c’est l’identité numérique de La Poste. Il suffit de se créer un compte, d’y joindre une photo de la CI et de prendre rendez-vous avec son facteur pour qu’il valide le compte en face à face. Et ensuite c’est utilisable sur FranceConnect. Mais ce n’est que du niveau 1 et ça ne permet pas de faire de la signature eidas de niveau 2 ou 3 car il n’y a pas de gestion de clé prévue pour le moment…


fred42 Abonné
Le 17/05/2019 à 07h 40

Le RGPD s’applique ici par service d’identité pas globalement pour France Connect.



Sur la rétroactivité : le RGPD doit être respecté maintenant même si l’appli a été faite avant pour tout nouveau utilisateur. Donc, mobileconnectetmoi devrait être traité de la même façon par la CNIL (si les traitements sont comparables).







jpaul a écrit :



Quoi ? Tu veux dire qu’il existerai déjà une option d’identification sécurisée, standard, et sans fichage mais qu’on préfère faire un énième truc de fichage maison, bancal, dangereux et qui exclue toute une frange de la population ? (Pas de smartphone, iOS, Androïd rooté)





mobileconnectetmoi est réservés (pour le moment aux abonnés sosh et orange. C’est encore plus excluant.



Ici, c”est l’état qui offre le service d’abord sur Android.



hellmut Abonné
Le 17/05/2019 à 08h 40

merci pour les infos. ;)


Le 17/05/2019 à 10h 25







fofo9012 a écrit :



La différence majeure c’est que mobileconnectetmoi.fr n’est qu’un des moyens optinnel pour créer un compte. Tu peux également simplement utiliser ton login / mdp des impôts par exemple pour créer le lien France Connect vers tous les autres services de l’état.&nbsp;



Oui, d’un autre côté je ne parlais pas RGPD comme l’article, mais bénéfice apporté par Alicem comme le demandait crocodule

&nbsp;



fofo9012 a écrit :



Si tu gardes d’autres moyens de créer un compte y’a pas franchement de sécurité : la sécurité de la plateforme se résume à celle du maillon le plus faible. (en gros intercepter un des courriers où c’est écrit en gros “Fiche d’impot” sur l’enveloppe :-o )&nbsp;



C’est pour cela que ce n’est qu’une identité de niveau 1.&nbsp;



Le 17/05/2019 à 10h 29







jpaul a écrit :



Quoi ? Tu veux dire qu’il existerai déjà une option d’identification sécurisée, standard, et sans fichage mais qu’on préfère faire un énième truc de fichage maison, bancal, dangereux et qui exclue toute une frange de la population ? (Pas de smartphone, iOS, Androïd rooté)





En fait, pour des niveau 3, je crois qu’il n’existe pas d’alternative à Alicem, c’est d’ailleurs le titre du dernier paragraphe de l’article.



Par contre, pour le niveau 1, tu as de nombreuses alternatives certaines sans fichage biométrique.



Le 17/05/2019 à 12h 48







slemaire a écrit :



Tout d’abord l’usage de la biométrie est déjà en place sur FranceConnect avec le fournisseur d’identité mobileconnectetmoi.fr Pour s’y inscrire, il suffit de se photographier (selfie) et de photographier un document d’identité comme sa carte d’identité. Si les deux visages correspondent l’identité numérique est créée à partir des éléments reconnus sur le document. Le téléphone devient un identifiant FranceConnect, avec un simple code secret supplémentaire.

Donc la question de la biométrie aurait dû être posée avant avec le fournisseur d’identité mobileconnectetmoi.fr



Note : je ne sais pas si la machine peut valider seule la correspondance entre les visages du document d’identité et du porteur du téléphone ou si elle toujours aidée d’un humain.



Je reviens sur la question du bénéfice attendu avec ce décret et le fournisseur d’identité Alicem : une identification eIDAS de niveau 2, voire forte de niveau 3, grâce à

l’usage de la puce du titre électronique pour faire une signature cryptographique. Le téléphone communique avec la puce sans contact du titre électronique, et peut l’utiliser pour signer l’identité avec la clé secrète du titre.

Donc le bénéfice est une identité de niveau 2 ou 3, qui sera reconnue dans toute l’Europe (je crois que les identités niv 1 resteront dans leur pays d’origine).



Quelques explicationshttps://sd-magazine.com/identite/lidentite-numerique-forte-tabou-a-consecration





Sauf que pour utiliser FranceConnect tu n’es pas contraint de passer par l’identification par photo, là où le Décret ne semble prévoir qu’une porte d’entrée unique: la biométrie.



Et le fait d’avoir une niveau d’identification reconnu partout en Europe, je peux témoigner que l’on a déjà au moins deux outils qui le font sans utiliser la biométrie (je présume qu’ils ne sont pas les seuls); les signatures électroniques des notaires et avocats (qui ne portent pas que sur l’identité de la personne mais encore sur la valeur des actes et de l’engagement des parties y compris devant les Juridictions et donc les administrations).



Le 17/05/2019 à 12h 52







fred42 a écrit :



Le RGPD s’applique ici par service d’identité pas globalement pour France Connect.



Sur la rétroactivité : le RGPD doit être respecté maintenant même si l’appli a été faite avant pour tout nouveau utilisateur. Donc, mobileconnectetmoi devrait être traité de la même façon par la CNIL (si les traitements sont comparables).





Et étant surtout rappelé que l’information et l’obligation de recueillir le consentement libre et éclairé (sauf intérêt légitime avéré ou intérêt public) sont des notions antérieures au RGPD.



lanoux Abonné
Le 17/05/2019 à 13h 19

pas qu’eux, dans le cadre de la facturation électronique tu dois avoir un certificat RGS qui te permet également la signature eIDAS ( par contre dans le cadre du boulot, c’est payant dans les 800€ les 3 ans)


Aloryen Abonné
Le 17/05/2019 à 13h 20

Hum, concernant le RPGD, ce n’est pas tout a fait la problématique.

Le problème concerne la certification EIDAS des services d’authentification, signature électronique, recommandé électronique…



Ceux qualifiés avant l’été 2018 (en gros) ne seraient plus forcément acceptés aujourd’hui, car les règles de l’ANSSI sont maintenant plus strictes (indépendamment du règlement). Par exemple, les OTP par SMS ne sont plus autorisés, alors qu’ils l’étaient avant.



Le portail FranceConnect pourra prochainement proposer des identifications “Niveau 2 substantielle” et “Niveau 3 forte”, mais tous les fournisseurs d’identité FConnect n’en seront pas capable.



&nbsp;Parmis les fournisseurs compatible, on s’attend à avoir :




  • identité numérique “v2” de la poste, avec validation par smartphone via empreinte, smartphone lui même validé par un facteur assermenté

  • mobile connect et moi, qui passe aussi une vérification de la carte SIM et pas uniquement le puce TPM du mobile (perso, ça marche pas sur mon smartphone sosh…)

  • un service basé sur la reconnaissance faciale + pièce d’identité… mais honnêtement, qui a pensé que les utilisateurs accepteraient de fournir leur pièce d’identité à une entreprise privée

  • ce futur service qui passe par la crypto du passeport + reconnaissance faciale pour vérifier que le porteur correspond bien au titre

  • … d’autres



    Bref, et tout ce merdier vient du fait qu’on a refusé la carte d’identité numérique, qui aurait permis quelque chose de beaucoup plus simple, comme en belgique ou lituanie, avec un simple certificat sur carte à puce…



    Aujourd’hui, a part les certificats, quasiment le seul moyen “simple” et qualifié, correspond a une feuille A4 avec une grille de code, remise en main propre par un agent assermenté…

    Le second étant l’identité numérique de la poste, le facteur étant agent assermenté.


Le 17/05/2019 à 13h 26







lanoux a écrit :



pas qu’eux, dans le cadre de la facturation électronique tu dois avoir un certificat RGS qui te permet également la signature eIDAS ( par contre dans le cadre du boulot, c’est payant dans les 800€ les 3 ans)





Oui ca me semble logique que d’autres certification permettent d’avoir une authentification forte reconnue partout en Europe sans nécessairement recourir à la biométrie.



Le 18/05/2019 à 09h 48

Je voudrais juste rappeler que la signature numérique est légale depuis 2001, et qu’elle figure au programme du C2i (obligatoire pour obtenir une Licence) depuis au moins 2005 :

www.c2imes.org/PDF/A2.pdf#page=79

Mais visiblement les gouvernements successifs ne se sont pas donné la peine de mettre les moyens pour en faire une réalité !



D’autre part, une signature numérique implique de faire confiance aux logiciels et matériels à l’aide desquelles elle est effectuée.

Donc les équipements où l’utilisateur n’as pas d’accès administrateur sont exclus d’office, comme :




  • Les iPhones/iPads.

  • Les Androids non-rootés (et j’ai des gros doutes sur ceux rootés).

  • Les ordinateurs avec (tous?) les processeurs Intel.


fred42 Abonné
Le 18/05/2019 à 13h 20

Au tout début de la page mise en lien :

Le cryptage des fichiers.



Je me suis arrêté là.



Ensuite, je ne suis pas sûr que l’ANSII ait la même vision de la confiance que toi.


Le 18/05/2019 à 13h 51

Certes, mais le principal ici ce n’est pas tant la compétence du cours en question, mais son existence…



En parlant de confiance : Ils n’ont pas la même vision ou alors ils n’en ont pas les moyens ?

Alors, on pourrait dire que la sécurité c’est toujours un compromis et que donner à l’utilisateur le contrôle total de sa machine n’en vaut pas le coup… mais on parle bien ici d’une signature officiellement reconnue par l’État Français, avec des conséquences légales - par exemple, combien de temps avant que l’on puisse l’utiliser pour voter ?