Dès 2021, le gouvernement veut lancer la carte d’identité électronique. Étape préalable à toute dématérialisation des documents officiels : établir une procédure d'identification fiable pour chaque internaute. Et ce, à la fois, pour répondre aux objectifs de la numérisation des services publics et lutter contre les publications illicites. Pour cela, les autorités innovent. Au risque de se précipiter.
« Nous devons relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment », écrit le ministre de l’Intérieur Christophe Castaner dans son rapport sur « L’état de la menace liée au numérique » [PDF]. Face à ce « défi », les autorités ont récemment mis en place un « parcours d’identification » spécifique qui soulève plusieurs interrogations, notamment chez les défenseurs des libertés numériques.
En collaboration avec la Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC) et le secrétariat d’État chargé du Numérique, le ministère de l’Intérieur a fait passer un décret le 13 mai 2019 qui instaure ce nouveau mode d’identification sur mobile baptisé Alicem. Retour en cinq questions pour comprendre ce « parcours d’identification » quelque peu semé d'embûches.
Qu’est-ce qu’Alicem ?
Décrétée en mai 2019, l’application d’« Authentification en ligne certifiée sur mobile » (Alicem), développée par l’Agence des Titres Sécurisés (ANTS) depuis 2016, vise à créer une « identité numérique » pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux, pour tous les détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique). L'objectif est de créer un document virtuel mais officiel d'identité à partir du document physique. Pour l’instant introuvable sur le Play store, elle ne sera disponible que pour les mobiles Android.
Selon le décret du 13 mai 2019, ce « moyen d'identification électronique [permet] de s'identifier électroniquement et de s'authentifier auprès d'organismes publics ou privés ». Concrètement, un individu pourra directement se connecter à tous les sites liés à FranceConnect (Impots.gouv, Ameli, l’assurance retraite, banques, entreprises privées, etc.). Une liste exhaustive des partenaires à retrouver ici.
Comment ça marche ?
D’abord, il faut posséder un téléphone NFC sous Android. Puis première étape : se créer un compte sur l'appli. À la manière d'un paiement sans contact, vous devrez scanner à l'aide du téléphone la puce biométrique de votre titre électronique (passeport ou carte de séjour).
Le système a alors accès aux données qui y sont stockées -hors empreintes digitales- qui seront ensuite vérifiées. Cette étape porte sur l’authenticité et l’intégrité du document ainsi que sur la validité en cours de ce dernier.
Dernière étape : la vérification par un dispositif de reconnaissance faciale à la fois statique (photo) et dynamique (vidéo). Face à votre écran, vous devez bouger pour que la caméra capture les traits de votre visage en mouvement. Enfin, au terme de ce processus, l’« identité numérique » est générée.
Quelles sont les données personnelles récoltées ?
L’identité numérique est un concentré des informations personnelles de base. Elle contient d’abord les données « d’identification » de l’usager : nom, prénom, date et lieu de naissance, nationalité, sexe, taille, couleur des yeux, adresse, photo sur le document d’identité, mais aussi la photo et vidéo enregistrée lors de la reconnaissance faciale, numéro de téléphone portable, identifiant sur l’appli, et enfin l’adresse mail.
Toutes les données liées au document officiel d’identification (numéro du titre, autorité et lieu de délivrance, expiration, etc.) sont aussi récoltées. Enfin, l’historique d’utilisation est également stocké. Toutes ces données sont gardées tant que le compte est actif. S’il est inactif, il faut attendre six ans pour que ces données personnelles soient supprimées. Certaines de ces informations peuvent être transmises aux fournisseurs de téléservices liés par convention à FranceConnect ou à l'ANTS.
Les données sont-elles en sécurité ?
Toutes les données récoltées sont chiffrées. De plus, pour garantir la sécurité des données personnelles, les services gouvernementaux insistent sur le processus de vérification « pluri-factoriel ». En plus de la vérification traditionnelle de l’authenticité du titre, la reconnaissance faciale et l’envoi d’un code de sécurité sont gages de sécurité.
Les développeurs assurent un « niveau maximum de sécurité » conforme au règlement européen eIDAS(Electronic identifiation authentication and trust services). Depuis 2014, ce règlement instaure un cadre européen en matière d’identification et d’authentification. Il couvre notamment le sujet de la signature électronique. En France, c’est l’Agence nationale de la sécurité des systèmes d’information (ANSSI) se charge de faire respecter cette législation.
Pourquoi l’Alicem pose problème ?
L’Alicem est loin de faire l’unanimité. Entité indépendante, la Commission nationale de l’informatique et des libertés (Cnil) a rendu un avis défavorable [PDF] sur ce décret, préalablement à sa publication. La Commission critique plusieurs points. D’abord le délai de conservation de telles données « sensibles ». Alors qu’elle préconisait six mois, la loi indique que les données d’un compte inactif seront conservées six ans. Les experts regrettent également la seule disponibilité sur Android. Et le point le plus épineux est le caractère obligatoire de la reconnaissance faciale. Dans son avis, la Commission énonce clairement que, comme il n’existe aucune autre alternative pour se créer une identité via Alicem, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ». Les conseils de la Cnil n’ont cependant pas été suivis.
Fervent défenseur des libertés numériques, le collectif La Quadrature du Net (LQDN) est passé à l’attaque. LQDN pointe elle-aussi du doigt l’article 13 qui ne respecte pas la notion de « consentement libre et non-imposé » prévue par le RGPD. Les militants ont déposé, lundi 15 juillet 2019, un recours contre l’Alicem auprès du Conseil d’État.