Reconnaissance faciale : le Conseil d’Etat, loin de grimacer, l’accepte sous des conditions qui ne sont pas que faciales

La reconnaissance faciale est au coeur de préoccupations aussi essentielles que contradictoires de notre société : comment être efficace, comment sécuriser notre territoire, comment aussi éviter les fraudes et les usurpations d’identité… tout en évitant un régime de contrôle à mi-chemin entre Big Brother et le régime chinois ?

C’est dans ce cadre que la toujours bouillante Quadrature du net avait provoqué en duel juridictionnel, au Palais Royal, l’application pour smartphone « ALICEM » devant le Conseil d’Etat.

Cette association écrit (avec d’utiles liens) que :

« Cette application, développée par l’Agence des Titres Sécurisés (ANTS), visait à développer une identité numérique gouvernementale, soi-disant « sécurisée », conditionnée à un traitement de reconnaissance faciale obligatoire. Soit une manière détournée de commencer à imposer à l’ensemble de la société française la reconnaissance faciale à des fins d’identification. La CNIL s’était, pour une fois, autorisée à contredire frontalement le gouvernement en soulignant dans son avis qu’un tel dispositif était contraire au droit européen. Le gouvernement n’avait pas suivi son avis et avait publié, sans le modifier, le décret permettant la création de cette application. »

 

Naturellement, le discours est tout aussi radicalement inverse du côté d’ALICEM :

 

Voici quelques unes des garanties apportées par ALICEM selon le Ministère de l’Intérieur :

« la création d’un compte Alicem n’est pas obligatoire.
Alicem constitue une solution supplémentaire pour s’authentifier auprès des services en ligne partenaires de FranceConnect. Les utilisateurs restent libres d’utiliser les alternatives disponibles […]
Quels sont les avantages à utiliser Alicem ?
Des démarches en ligne simplifiées :
– Un seul accès à une multitude de services en ligne : l’utilisateur n’a plus besoin de mémoriser plusieurs identifiants et plusieurs mots de passe.
– L’accès immédiat et sans se déplacer à plus de services en ligne :
– ’authentification hautement sécurisée donnera progressivement l’accès à des services qui imposent actuellement une vérification « physique » de l’identité des personnes soit à un guichet soit par l’examen de copies de plusieurs pièces envoyées par l’usager.
[…]
La reconnaissance faciale est une des sept étapes de la création d’un compte Alicem. Cette étape permet de s’assurer que le titre biométrique utilisé appartient bien à la personne qui crée le compte Alicem, afin de lutter contre l’usurpation d’identité. Cette technologie ne vise en aucun cas le recueil ou le stockage des données biométriques des usagers dans un but de surveillance.
Lors de la création du compte, la photo contenue sur la puce du titre est extraite par lecture sans contact NFC. L’utilisateur réalise ensuite une vidéo en temps réel via le smartphone (en mode selfie) et effectue 3 actions différentes (sourire, tourner la tête, cligner des yeux) dans un laps de temps resserré et dans un ordre aléatoire. Une reconnaissance faciale dire « statique » est également réalisée à partir d’une photographie extraite de la vidéo et comparée à celle conservée dans la puce du titre. Cette procédure permet de vérifier que l’utilisateur est le titulaire légitime du titre biométrique sur lequel l’identité numérique est fondée.
Comme le prévoit le décret, les données liées à la biométrie, dont la vidéo ainsi réalisée lors de la création du compte, sont effacées sitôt les vérifications effectuées.
Cette procédure n’est nécessaire qu’une fois lors de la création du compte et non à chaque utilisation de l’application. Elle n’intervient donc qu’une fois dans le cycle de vie de l’application.
[…] Les données extraites du titre d’identité sont vérifiées lors de l’inscription mais ces dernières ne sont stockées que sur le smartphone de l’utilisateur sous son contrôle exclusif et protégées par un chiffrement.
Alicem n’a pas accès aux historiques de transactions grâce à la séparation garantie par la plateforme « FranceConnect », qui anonymise les fournisseurs de service auxquelles sont transmises les données.
Le décret qui réglemente Alicem contient des dispositions très strictes sur la gestion des données.
Les données ne font l’objet d’aucune utilisation pour d’autres objectifs que l’authentification électronique et l’accès à des services en ligne par Alicem. Elles ne sont pas transmises à des tiers.»

 

Les requérants pouvaient cependant avoir quelques espoirs d’autant que les questions de reconnaissance faciale et — sujet relativement connexe — de caméras thermiques avaient donné lieu à de sévères décisions récemment du juge ou de la CNIL :

 

Sur une question assez comparable, en matière de cookies :

 

D’autant que le droit européen en ce domaine est considéré comme très protecteur.

Source principale : règlement n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur, précisé par le règlement d’exécution n° 2015/1502 de la Commission du 8 septembre 2015.

Comme il l’est mentionné aux intéressantes conclusions de M. Alexandre Lallet, rapporteur public :

« L’article 9 du RGPD interdit les traitements utilisant des données biométriques aux fins d’identifier une personne physique de manière unique, mais assortit cette interdiction d’une série d’exceptions, dont, au a) de son 2., le consentement explicite de la personne concernée et, au g. du même point 2, la nécessité de ce traitement au regard de motifs d’intérêt public important. »

Un des enjeux est de savoir s’il y a « consentement libre et éclairé » (cf. point « 11)» de l’article 4 du RGPD) et absence de préjudice pour ceux qui ne voudraient pas utiliser l’application imposant la reconnaissance facile, d’une part, et motifs d’intérêts publics assez importants, donc, d’autre part. 

Or, à rebours de la position de la CNIL telle en tous cas que voulait l’interpréter la Quadrature du net, dont le recours a été ainsi rejeté, le Conseil d’État a posé que :

 

« il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait à la date du décret attaqué d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s’ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement.

« […] il ressort des pièces du dossier que les téléservices accessibles via l’application  » Alicem  » l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d’un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l’ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données précité. Il s’ensuit que l’association requérante n’est pas fondée à soutenir que le consentement des utilisateurs de l’application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978.

[…] Eu égard à leur objet et aux finalités du traitement rappelées au point 1, le recueil de ces données doit être regardé comme adéquat et proportionné à cette finalité. »

 

Cela dit :

 

Sources :

  • CE, 4 novembre 2020, n° 432656 :
  • voir aussi les intéressantes conclusions de M. Alexandre Lallet :