Question posée par Erwan le 07/10/2019

Bonjour,

Nous avons reformulé votre question : «Est-il vrai que la reconnaissance faciale sera obligatoire bientôt pour accéder à certains services publics en ligne à travers l’application Alicem ?»

Elle fait suite à la publication de plusieurs articles dans la presse française, qui reprennent des informations publiées le 3 octobre par le site américain Bloomberg, dans un article intitulé «la France s’apprête à lancer un programme national d’identification faciale à l’échelle nationale».

La journaliste Hélène Fouquet y explique que le gouvernement français compte déployer un programme d’identification, baptisé Alicem, pour «Authentification en ligne certifiée sur mobile», afin de rendre l’Etat plus efficace. Pour activer cette identité numérique, l’utilisateur doit obligatoirement procéder à des tests de reconnaissance faciale depuis son smartphone.

Le gouvernement promet une identité numérique pour simplifier les procédures administratives des citoyens

Pour l’instant, la communication institutionnelle sur l’application Alicem se résume principalement à un communiqué publié le 30 juillet 2019, dans lequel la place Beauvau présente «Alicem, la première solution d’identité numérique régalienne sécurisée», qui devrait être ouverte au grand public «avant la fin de l’année 2019». Le ministère explique qu’il s’agit d’une «application pour smartphone» développée avec l’Agence nationale des titres sécurisés (ANTS) pour permettre «à tout particulier, qui décide de l’utiliser, de prouver son identité sur Internet de manière sécurisée». L’Intérieur met en avant le fait que cette application va simplifier les démarches en ligne, offrir une «identification sécurisée» de niveau «élevé» face aux tentatives d’usurpation d’identité sur Internet.

Dans sa communication, le ministère de l’Intérieur insiste également sur le fait que «créer un compte Alicem n’est pas obligatoire» et que les utilisateurs pourront toujours faire leur démarche auprès d’un service public par d’autres moyens : soit à l’aide d’un compte spécifique pour le service concerné, par d’autres moyens d’identification électronique disponibles sur FranceConnect ou de manière plus classique «par des procédures administratives "physiques" traditionnelles».

Sur le papier, le gouvernement promet donc un nouveau moyen sécurisé pour que les citoyens puissent accéder à une multitude de services pour lesquels ils n’auront «plus besoin de mémoriser plusieurs identifiants et plusieurs mots de passe».

Le processus de reconnaissance faciale décrié par la Cnil et par plusieurs défenseurs des libertés sur Internet

Si la promesse de simplification paraît alléchante, elle est fortement décriée, que ce soit du côté de la Cnil, ou des défenseurs des libertés sur Internet comme la Quadrature du Net, ainsi que le chercheur en cybersécurité, Baptiste Robert, avec lequel CheckNews s’est entretenu. Ils lui reprochent tous le recours obligatoire à la reconnaissance faciale pour pouvoir utiliser l’application. En effet, comme on peut le lire dans le décret de mai 2019 autorisant la création d’Alicem, ou plus simplement le voir sur cette vidéo dénichée par Baptiste Robert : pour se créer une identité numérique, les citoyens (disposant d’un smartphone Android, d’un titre français biométrique valide et d’une adresse e-mail) devront passer par un dispositif de reconnaissance faciale automatisé. Ce mécanisme vérifiera si les données du titre biométrique correspondent bien à la personne qui cherche à l’activer en lui demandant de procéder à des tests vidéos, durant lesquels il devra cligner des yeux, bouger sa tête et sourire.

Vous êtes nombreux à vous demander comment va fonctionner #Alicem, l’application d’identité numérique qui va débarquer sur vos téléphones très bientôt. Dans cette vidéo, le Ministère de l’Intérieur vous explique tout https://t.co/J5E1YUO10M — Elliot Alderson (@fs0c131y) 8 octobre 2019

Dès octobre 2018, la Cnil avait noté que pour se créer une identité numérique Alicem, l’utilisateur n’avait pas d’autre choix que de consentir à un dispositif de reconnaissance faciale automatisé. La Cnil estimait alors que cette absence d’options n’était pas compatible avec l’article 9 du RGPD, et demandait que le ministère propose des «solutions alternatives au recours à la biométrie», telles qu’un «face à face» dans une administration, «une vérification manuelle» de la vidéo et de la photographie sur le titre par un agent qui réceptionnerait la vidéo ou «d’un appel vidéo en direct avec un agent de l’ANTS».

La Quadrature du Net avait repris ce reproche, auquel elle ajoutait le fait que le ministre de l’Intérieur, Christophe Castaner «a mis en avant cette application pour lutter contre l’anonymat et la haine sur Internet», dans son rapport «Etat de la menace liée au numérique en 2019». L’association craint que le développement d’Alicem soit une menace pour l’anonymat des citoyens français.

«Il n’y a pas de système à 100% sécurisé»

Interrogé par CheckNews, le chercheur en cybersécurité Baptiste Robert pointe du doigt plusieurs problèmes dans le déploiement d’Alicem. Alors que le gouvernement met en avant le niveau «élevé» de robustesse de son application, le hacker français rappelle qu'«il n’y a pas de système à 100% sécurisé. La question n’est pas de savoir quand est-ce qu’on va trouver la première faille, mais combien on va en trouver. Il faut que le gouvernement mette en place une transparence sur son application pour que des chercheurs et autres enthousiastes de la cybersécurité puissent faire remonter les failles rencontrées».

La deuxième critique du chercheur relève de l’éthique. Ainsi, Baptiste Robert estime que «le gouvernement va forcément faire de la publicité pour cette identité numérique pour inciter les gens à l’utiliser». Si elle est certes annoncée comme optionnelle, il se demande «jusqu’à quand», et rappelle le cas du système d’identification biométrique indien Aadhaar : «On a demandé aux Indiens de s’enrôler dans Aadhaar, qui était présenté comme un programme optionnel. Sauf qu’au fur et à mesure, le numéro Aadhaar est devenu obligatoire pour de nombreux service et permet de faciliter des démarches.» En mars 2017, le journal britannique The Guardian notait que l’absence de carte Aadhaar limitait l’accès à certains droits fondamentaux, et empêchait l’accès à des repas scolaires gratuits.

Si le ministère de l’Intérieur promettait dans son communiqué de juillet que «la vidéo de reconnaissance faciale réalisée lors de la création du compte est effacée immédiatement après la vérification», Baptiste Robert oppose qu’il ne s’agit que de la «parole» du gouvernement. Or, «s’ils se mettent à collectionner ces vidéos, alors elles pourraient être employées à des fins sécuritaires. On a de plus en plus de caméras qui sont capables de faire de la reconnaissance faciale. Ça pose la question de savoir si on veut vivre dans une société de surveillance et si on est prêt à améliorer cette surveillance en utilisant un outil promu par le gouvernement».

La société privée néerlandaise Gemalto développe Alicem

En dernier lieu, comme il le développe dans une note de blog (en anglais), le chercheur a découvert en analysant le code de l’application Android, que le gouvernement français avait fait appel à la société privée néerlandaise Gemalto (appartenant au groupe Thalès), spécialisée dans la sécurité numérique, pour développer Alicem. Il révèle que Gemalto a fourni un système démo au ministère de l’Intérieur, qui «était superfacile à faire planter», mais surtout que la démo fournie à la France (qui débourse plus de 2,8 millions euros à Gemalto pour développer Alicem) n’est pas exclusive. En effet, le hacker français a repéré que la version testée par les Français est une reprise d’un autre projet (un permis de conduire numérique) financé par une agence du gouvernement américain. «Ils ont été littéralement payés deux fois pour le même travail», s’étonne Baptiste Robert sur son blog.

Dernière question : la France deviendra-t-elle le premier pays européen à proposer à ses citoyens de s’identifier à des services publics grâce à la reconnaissance faciale, comme on le lit dans plusieurs médias ? Baptiste Robert confirme qu’il ne connaît pas d’autres cas en Europe pour l’accès au service public, et craint «un appel d’air» dans le continent si la France s’y met. Il rappelle cependant que la reconnaissance faciale n’est pas une nouveauté dans nos vies, puisqu’on trouve déjà cette technologie dans certains aéroports au contrôle aux frontières.

Contacté par CheckNews, le ministère de l’Intérieur n’a pas donné suite à nos demandes de renseignement.

Cordialement