Le secrétaire d’Etat en charge du Numérique a proposé de créer une instance de supervision qui serait chargée d’expérimenter un système de reconnaissance faciale. Ce système a été testé au mois de février 2019, par la mairie de Nice, à l’occasion du carnaval. L’une des finalités visées par ce dispositif est la lutte contre le terrorisme.
La France est le premier pays de l’Union européenne à mettre en place ce type de dispositif.
Pour autant, le recours à la reconnaissance faciale fait l’objet de vives controverses et suscite nombre d’interrogations, tant d’un point de vue politique, éthique que juridique.
Selon la définition de la Commission Internationale de l’Informatique et des Libertés (« La CNIL »), la reconnaissance faciale est une technique qui permet à partir des traits de visage :
- d’authentifier une personne : vérifier qu’une personne est bien celle qu’elle prétend être ;
- d’identifier une personne : de retrouver une personne au sein d’un groupe d’individus, dans un lieu, une image ou une base de données.
Le Ministère de l’Intérieur entend mettre en service une application pour smartphone dénommée « Application de lecture de l’identité d’un citoyen en mobilité » (« ALICEM »). Selon le Ministère, « ALICEM permet à tout particulier, qui décide de l’utiliser, de prouver son identité sur Internet de manière sécurisée ».¹ En utilisant cette application, les détenteurs d’un passeport biométrique peuvent se créer une identité numérique pour se connecter à des services publics en ligne. Au moment de l’activation du compte, les utilisateurs doivent avoir recours au système de reconnaissance faciale.
Selon le Ministère de l’Intérieur, ALICEM permettrait de contrôler l’identité numérique des individus, de contribuer à la simplification des démarches administratives et de lutter contre l’usurpation d’identité en ligne ainsi que contre la cybercriminalité.
La CNIL a d’emblée souligné que cette technologie est empreinte de risques pour la protection des données à caractère personnel et les libertés individuelles, notamment la liberté d’aller et venir. Se pose également la question du consentement libre et éclairé au moment de l’activation du compte par les utilisateurs.
La CNIL a été saisie d’une demande d’avis par le Ministère de l’Intérieur concernant un projet de décret en Conseil d’Etat réglementant le dispositif ALICEM. Aux termes de cet avis², la CNIL a précisé que le traitement ALICEM relève du champ d’application du Règlement Général sur la Protection des Données (« RGPD »), puis a rappelé les conditions spécifiques s’appliquant aux données biométriques [lien vers LF données biométriques].
La CNIL a également relevé que le Ministère de l’Intérieur a retenu le consentement comme base légale du traitement ALICEM. Elle rappelle à cet égard que le « consentement n’est libre que si le traitement de ces données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable du traitement à la personne concernée ». Elle a ajouté qu’« en l’espèce, le refus du traitement des données biométriques fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du comte ». En effet, aucune autre alternative n’est proposée aux utilisateurs de l’application ALICEM que la reconnaissance faciale pour la création de l’identité numérique.
En dépit de cet avis de la CNIL, le gouvernement n’a pas modifié son projet de décret. Celui-ci a été publié le 16 mai 2019³.
Dans ces conditions, part requête introductive d’instance en date du 15 juillet 2019, la Quadrature du net a déposé un recours devant la section du contentieux du Conseil d’Etat afin de solliciter l’annulation du décret autorisant la mise en place du dispositif ALICEM.
Pour sa part, la CNIL a récemment publié un rapport spécifique sur la question de la reconnaissance faciale. Aux termes de ce rapport, l’autorité de contrôle rappelle que l’émergence de ce dispositif fait l’objet de nombreux débats, puis présente des éléments techniques, juridiques et éthiques devant être pris en considération dans le cadre de ces débats.⁴
Paradoxalement, la question de la reconnaissance faciale n’est pas expressément traitée ni par le RGPD ni par la Loi Informatique et Libertés⁵. Si ce type de dispositif est étroitement lié à la protection des données à caractère personnel, il n’existe que des textes génériques susceptibles d’encadrer son utilisation.
D’un point de vue pratique, le RGPD prévoit deux garde-fous : d’une part, la réalisation d’une analyse d’impact, dès lors qu’il s’agit d’un traitement susceptible d’engendrer un risque élevé pour les droits et libertés des utilisateurs ; d’autre part, l’interdiction de principe de traiter des données biométriques tel que consacrée à l’article 9.2 du RGPD.
Enfin, il convient de ne pas perdre de vue que l’instauration du dispositif ALICEM n’est subordonnée à aucune autorisation préalable de la CNIL. En effet, compte tenu de la disparition du régime déclaratif depuis le 25 mai 2018, cette dernière ne peut exercer qu’un contrôle a posteriori sur la conformité du système de reconnaissance faciale au RGPD.
M&B Avocats
¹ « ALICEM, la première solution d’identité numérique régalienne sécurisée », L’actu du Ministère, site internet du Ministère de l’Intérieur
² Délibération n°2018-342 du 18 octobre 2018 portant avis sur projet de décret autorisant la création d’un traitement automatisé permettant d’authentifier une identité numérique par voie électronique dénommé «Application de lecture de l’identité d’un citoyen en mobilité » et modifiant le code de l’entrée et du séjour des étrangers et du droit d’asile demande d’avis n°18008244
³ Décret n°2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile »
⁴ Rapport publié par la CNIL le 15 novembre 2019 : « Reconnaissance faciale : pour un débat à la hauteur des enjeux »
⁵ Loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés