Lundi dernier, La Quadrature du Net a déposé un recours devant le Conseil d’État pour demander l’annulation du décret autorisant la création de l’application mobile intitulée « ALICEM », pour « Authentification en ligne certifiée sur mobile ». En y conditionnant la création d’une identité numérique à un traitement de reconnaissance faciale obligatoire, le gouvernement participe à la banalisation de cette technologie, et cela au mépris de l’avis préalable de la CNIL qui avait pourtant souligné son illégalité. Les récentes déclarations de Christophe Castaner qui a mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet ne peuvent qu’alerter.

L’application ALICEM, développée par l’Agence des Titres Sécurisés (ANTS), vise à permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique pour faciliter l’accès à certains services sur Internet, administratifs ou commerciaux. Comme l’explique la notice même du décret qui en autorise la création, « ce traitement automatisé de données à caractère personnel vise à permettre une identification électronique et une authentification pour l’accès à des services en ligne en respectant les exigences relatives au niveau de garantie requis par le service en ligne concerné au sens du règlement européen « eIDAS » (…). Le moyen d’identification électronique peut être utilisé prioritairement pour l’accès à des services dont les fournisseurs sont liés par convention à FranceConnect » (par exemple, impots.gouv, l’Assurance maladie… voir une liste des partenaires ici).

Concrètement, cela fonctionne ainsi : une personne détenant un titre avec une puce biométrique (passeport ou titre de séjour) télécharge l’application sur son smartphone (pour l’instant seulement sur les téléphones Android), pour y créer un compte. Pour cela, il doit procéder à la lecture avec son téléphone de la puce de son titre électronique. L’application a alors accès aux données qui y sont stockées, hors les empreintes digitales (notons que le décret du fichier TES est donc modifié pour permettre la lecture des informations stockées sur la puce électronique). Enfin, pour activer le compte, il faut se subordonner à un dispositif de reconnaissance faciale (dit « statique » et « dynamique », c’est à dire une photo et une vidéo avec des gestes à accomplir devant la caméra) pour vérifier l’identité. Alors seulement, l’identité numérique est générée et la personne peut utiliser ALICEM pour s’identifier auprès de fournisseurs de services en ligne [1].

Reconnaissance faciale obligatoire

Alors pourquoi l’attaquer ? Car l’application ALICEM oblige, au moment de l’activation du compte, de recourir à ce dispositif de reconnaissance faciale, sans laisser aucun autre choix à l’utilisatrice ou l’utilisateur. L’article 13 du décret énonce ainsi que l’ANTS informe l’usager « concernant l’utilisation d’un dispositif de reconnaissance faciale statique et de reconnaissance faciale dynamique et au recueil de son consentement au traitement de ses données biométriques ». Or, au sens du règlement général sur la protection des données (RGPD), pour qu’un consentement soit valide, il doit être libre, c’est-à-dire qu’il ne peut pas être contraint : « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix » (Considérant 42). Ici, la personne voulant utiliser ALICEM n’a pas le choix de passer ou non par ce dispositif de reconnaissance faciale et le consentement dont se revendique le gouvernement n’est donc pas valable.

Cette analyse est d’ailleurs celle de la CNIL qui a rendu un avis sur ce décret, préalablement à sa publication. Dans cet avis, elle énonce clairement que, vu que la reconnaissance faciale est obligatoire et qu’il n’existe aucune autre alternative pour se créer une identité via ALICEM, « le consentement au traitement des données biométriques ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par l’article 9.1 du RGPD ». Malgré cet avis et les alternatives imaginées par la CNIL au dispositif de reconnaissance faciale, le gouvernement n’a pas modifié son décret en le publiant.

À l’heure où les expérimentations de reconnaissance faciale se multiplient sans qu’aucune analyse ou débat public ne soit réalisée sur les conséquences d’un tel dispositif pour notre société et nos libertés [2], en général dans une large illégalité, et alors que des villes aux États-Unis en interdisent explicitement l’utilisation pour les services municipaux [3], le gouvernement français cherche au contraire à l’imposer à tous les citoyens via des outils d’identification numérique. Et même s’il ne s’agit ici pas de reconnaissance faciale « en temps réel » par des caméras de surveillance, il s’agit néanmoins bien de normaliser la reconnaissance faciale comme outil d’identification, en passant outre la seule condition qui devrait être acceptable pour son utilisation : notre consentement libre et explicite. Le gouvernement révèle par ailleurs son mépris pour la CNIL, dont l’influence semble diminuer de plus en plus. Fléchissant il y a quelques mois devant les publicitaires en leur laissant encore un an de plus pour respecter le RGPD (voir notre article), elle apparaît ici plus faible que jamais quand elle alerte le gouvernement sur la violation du consentement d’une personne quand au traitement de ses données biométriques et que le gouvernement ne la respecte clairement pas.

La haine, l’anonymat et ALICEM

Attaquer ce décret est d’autant plus nécessaire quand on voit les dangereux liens que tisse le ministre de l’Intérieur Christophe Castaner entre anonymat, haine et identité numérique. Il écrit ainsi, en tête de son rapport « État de la menace liée au numérique en 2019 » : « La liberté, justement, voilà tout le paradoxe d’internet. L’anonymat protège tous ceux qui répandent des contenus haineux et permet à des faux-comptes de se multiplier pour propager toutes sortes de contenus. Nous ne pouvons pas laisser les publications illicites se multiplier. Nous devons donc relever le défi de l’identité numérique pour que chaque Français, dès 2020, puisse prouver son identité et savoir avec qui il correspond vraiment ». Et quand il parle, plus loin, d’identité numérique, c’est pour directement mentionner le dispositif ALICEM. Le débat sur l’identité numérique arrive donc à grande vitesse et l’utilisation que souhaite en faire le gouvernement ne peut qu’alerter : un outil non pas au service du citoyen mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet.

Un projet d’identité numérique, fondé sur un dispositif de reconnaissance faciale obligatoire (au mépris du RGPD) et ayant pour objectif avoué d’identifier chaque personne sur Internet pour ne plus laisser aucune place à l’anonymat ne peut qu’être combattu. C’est l’objet de ce recours.

—

[1] Voir également l’analyse de Marc Rees sur Next Inpact.

[2] Lire notre analyse des enjeux politiques de la reconnaissance faciale.

[3] La ville de San Francisco a récemment adopté une telle interdiction, bientôt rejointe par une autre ville du Massachusetts.

Les députés de l’Assemblée nationale devraient adopter ce mardi une proposition de loi contre les messages de haine sur Internet. La loi Avia, du nom de la députée La République En Marche Laetitia Avia, qui défend le projet, s’inspire du système allemand. Son but est d’imposer de nouvelles obligations aux principaux réseaux sociaux, qui risqueront une amende pouvant aller jusqu’à 1,25 million d’euros s’ils ne suppriment pas sous vingt-quatre heures les messages à caractère haineux, ayant des références illicites notamment à la race, la religion, le sexe, ou encore le handicap. Mais le projet est très critiqué par l’opposition et son efficacité en Allemagne est incertaine à ce jour. Comment agir contre la cyberhaine ? On en parle dans « 28 Minutes ».

https://www.arte.tv/fr/videos/088473-007-A/28-minutes/

NDLRP – Extraits des propos de Benjamin Bayart à retrouver aussi sur le Peertube de La Quadrature du Net :

[Soutenons notre internet, La Quadrature a besoin de vos dons.]

L’Assemblée nationale a voté jeudi l’obligation pour les plateformes internet de retirer en 24 heures les contenus haineux signalés, mesure-clé d’une proposition de loi LREM. Sous peine d’une condamnation à des amendes jusqu’à 1,25 million d’euros. […]

« La définition de ce qu’est un propos haineux a évolué presque chaque semaine depuis le début des débats sur cette loi extrêmement confuse« , explique Arthur Messaud, juriste à la Quadrature du Net. […]

https://rmc.bfmtv.com/emission/24-heures-pour-supprimer-les-contenus-haineux-pourquoi-la-loi-avia-semble-difficilement-applicable-1725403.html

NDLRP – Extraits des propos d’Arthur Messaud à retrouver aussi sur le Peertube de La Quadrature du Net :

[Soutenons notre internet, La Quadrature a besoin de vos dons.]

INTERVIEW – Examinée mercredi 3 juin [lire juillet, NDLRP] par l’Assemblée nationale, la proposition de loi « contre la haine en ligne » forcerait les plateformes et autres réseaux sociaux à supprimer les contenus haineux sous 24 heures. Est-ce efficace ? Est-ce seulement possible ? On a posé la question à l’association La Quadrature du Net.

Responsabiliser les grandes plateformes du Web (Facebook, Twitter, Youtube etc.) et durcir la lutte contre la haine sur internet, tel est l’objectif de la proposition de loi portée par la députée LREM Laetitia Avia, dont l’examen à l’Assemblée nationale a débuté ce mercredi 3 juin [juillet, NDLRP]. Ce texte suscite l’inquiétude des grandes plateformes mais aussi de La Quadrature du Net. L’association française de défense des libertés en ligne dénonce un texte « dangereux« . Benoit Piédallu, membre de l’association détaille les risques que peut créer la loi. […]

https://www.lci.fr/politique/cyberharcelement-loi-contre-la-haine-en-ligne-demander-a-retirer-en-24-heures-les-contenus-c-est-extremement-dangereux-2125992.html

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]

Les sites français ont droit à un sursis d’un an quant au recueil du consentement de leurs visiteurs à se faire traquer. Cette période transitoire offerte par la Cnil aux éditeurs fait enrager les défenseurs de la vie privée et pourrait valoir au régulateur un remontage de bretelles au niveau européen. […]

L’association [La Quadrature du Net, NDLRP] assure que cette décision est le résultat de négociations entre la Cnil et le GESTE, syndicat d’éditeurs de contenus en ligne). « Aujourd’hui, la CNIL semble vouloir appliquer un droit différent entre Google et les médias français qui, eux, pourraient se contenter d’un consentement « implicite », violant tranquillement nos libertés fondamentales dans la poursuite de profits publicitaires intolérables » écrit la Quadrature, qui n’exclut pas de former un recours devant le Conseil d’Etat.

https://www.linformaticien.com/actualites/id/52348/cookies-le-drole-de-jeu-de-la-cnil.aspx

[NDLRP : Soutenons notre internet, La Quadrature a besoin de vos dons.]