ALICEM : la biométrie de l’identité numérique sur mobile fait tiquer la CNIL

S’identifier sur un service en ligne officiel avec une application biométrique. Voilà l’ambition d’un décret publié ce matin au Journal officiel. Le texte a toutefois suscité des critiques de la CNIL, fondées sur le règlement général sur la protection des données personnelles, pointilleux sur la question de la reconnaissance faciale.

Ce décret au J.O. paru ce jour crée un nouveau moyen d'identification électronique, l’ « Authentification en ligne certifiée sur mobile » ou ALICEM. Derrière ce bel acronyme, les titulaires d’un passeport biométrique ou d’un titre de séjour étranger électronique vont bientôt pouvoir se créer « une identité numérique » à partir de leur titre.

La procédure se fera sur smartphone, via une application mobile, avec pour finalité l’identification et l’authentification auprès des fournisseurs de services en ligne publics ou privés et avant tout, FranceConnect (notre actualité).

Ce système de reconnaissance se fera « au moyen d'un équipement terminal de communications électroniques doté d'un dispositif permettant la lecture sans contact », explique le décret. Le texte évoque aussi un système de reconnaissance faciale, au besoin « dynamique ». Pour permettre la délivrance de cette clef d'identification électronique, à chaque utilisation de l'application, le traitement se mettra jonction avec le fichier national de contrôle de la validité des titres.

Des données stockées sur mobile, d'autres centralisées

Le traitement enregistre avant tout une ribambelle de données personnelles :

Des données d’identification de l'usager :

• Le nom ;
• Le nom d'usage ;
• Le(s) prénom(s) ;
• La date de naissance ;
• Le pays de naissance ;
• Le département de naissance ;
• Le lieu de naissance ;
• La nationalité ;
• Le sexe ;
• La taille et la couleur des yeux ;
• L'adresse postale ;
• La photographie de l'usager extraite du titre ;
• La photographie de l'usager prise avec son équipement terminal de communications électroniques pour la reconnaissance faciale ;
• La vidéo prise par l'usager avec son équipement terminal de communications électroniques pour la reconnaissance faciale dynamique ;
• L'adresse électronique ;
• Le numéro d'appel de l'équipement terminal de communications électroniques ;
• L'identifiant technique associé au compte de l'usager ;

Des données permettant l'identification du titre détenu par l'usager :

• Le numéro du titre ;
• L'autorité de délivrance ;
• La date de délivrance ;
• La date d'expiration ;
• La clé publique permettant de certifier l'authenticité du titre ;

Des données relatives à l'historique des transactions associées au compte ALICEM :

• Le nom du fournisseur de service ;
• La catégorie de la transaction ;
• Une description courte du fournisseur de service ;
• Une description longue du fournisseur de service ;
• Le statut de la transaction ;
• La date de la transaction ;
• La date de mise à jour de la transaction ;
• La date d'expiration de la transaction ;
• La priorité de la transaction ;

Enfin « l'identifiant unique du service de notification, aux fins d'identification de l'équipement terminal de communications électroniques ».

L'accès et la transmission de ces données personnelles

Pour l’heure, seuls peuvent accéder à une partie des données enregistrées les agents des services du ministère de l'Intérieur chargés de la maîtrise d'ouvrage du traitement et ceux de l'Agence nationale des titres sécurisés, chargés de la maîtrise d'œuvre, tous étant « individuellement désignés et habilités par leur directeur ».

Ces données sont la taille et la couleur des yeux, l’adresse de la postale, la photo du titre, la photographie de l'usager prise avec son smartphone, pour la reconnaissance faciale ou la vidéo pour la partie dynamique, le mail, le numéro d'appel de l'équipement terminal de communications électroniques, l'identifiant technique associé au compte de l'usager.

Mais l’accès et la transmission ne sont pas deux opérations identiques. Seront destinataires des données personnelles comme le nom, l’adresse, le mail, etc. la DINSIC (direction interministérielle du numérique et du système d'information et de communication de l'État), les fournisseurs de téléservices liés par convention à FranceConnect ou à l'Agence nationale des titres sécurisés.

Elles seront conservées pour certaines sur l’appareil mobile, jusqu’à désinstallation de l’application ALICEM. D’autres données seront centralisées aux fins de contrôle.

Le décret instaurant le fichier TES est au passage modifié. Son article 3 mis à jour prévoit que les données inscrites dans la puce du passeport pourront dorénavant être lues par le traitement ALICEM, « à l'exclusion de l'image numérisée des empreintes digitales ».

Le texte cosigné du Premier ministre et du ministre de l’Intérieur n’a toutefois pas laissé insensible la CNIL. 

Une solution taillée pour Android, non rooté

Son avis est précieux déjà parce qu’il détaille le mode opératoire : ce dispositif fonctionnera uniquement sur Android pour l’heure (système non « rooté »). À la création d’un compte sur l’application ALICEM, l’utilisateur saisira son mail, son numéro de téléphone et un mot de passe. Une  lecture optique se fera de la bande MRZ des passeports et les données contenues dans la puce embarquée seront lues sans contact. Les données d’État civil, l’adresse et la photographie de l’utilisateur seront enfin transmises.

Pour contrôler le titre, une interrogation de DOCVERIF sera opérée. Un utilisateur disposant d’un titre valide pourra alors se créer d’identité numérique. À défaut, la porte lui sera fermée.

L’activation de l’application se fera par vérification d’un traitement biométrique par reconnaissance faciale à partir d’une vidéo prise en temps réel.

L’utilisateur devra réaliser plusieurs « défis » comme cligner des yeux, bouger sa tête, son visage. La vidéo est alors adressée à l’Agence nationale des titres sécurisés qui comparera une des photos extraites de la vidéo avec celle enregistrée dans le titre. Ces traces seront ensuite détruites. C’est seulement après ce tunnel de vérifications qu’une identité numérique pourra être effectivement générée.

La biométrie et le RGPD : un consentement non libre, sans alternative

Sans surprise, c’est sur l’autel du RGPD que la commission a analysé ce système. L’autorité prend note que le consentement de la personne est la pierre angulaire du traitement, en ce sens que l’utilisateur devra donner son feu vert. Néanmoins, l’autorité indépendante rappelle qu’un consentement n’est libre « que si le traitement de données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée ».

C’est là que la CNIL fronce des sourcils. Le refus du traitement biométrique engendre l’impossibilité de se doter d’une identité numérique. Or, la commission reproche à l’Intérieur cette alternative basique alors qu’il est pourtant possible « de recourir à des dispositifs alternatifs de vérification », autre que la biométrie.

Des dispositifs alternatifs ? La CNIL cite plusieurs exemples comme un face à face en préfecture, un appel vidéo avec un agent de l’ANTS ou pourquoi pas l’envoi manuel de la vidéo.

Certes le ministère pourrait toujours fonder ces traitements par « des motifs d'intérêt public important », une autre des justifications de l’article 9 du RGPD, mais pour l’heure le dossier est trop maigre, faute d’ « éléments de démonstration complémentaires ».  

La CNIL a suggéré donc que des solutions alternatives soient trouvées « afin de vérifier de l’identité alléguée par la personne créant son compte » et surtout respecter l’article 9.1 s’agissant du consentement libre, spécifique, éclairé et univoque. Ces alternatives n’étant pas prévues dans le texte publié au J.O., l’interdiction de principe des traitements biométriques posée par l’article 9.1 du RGPD devrait persister.  Nous avons contacté la CNIL pour connaître l'évolution de ce dossier. Nous y reviendrons une fois sa réponse obtenue.