Question de M. LAFON Laurent (Val-de-Marne - UC) publiée le 24/10/2019

M. Laurent Lafon interroge M. le secrétaire d'État auprès du ministre de l'économie et des finances et du ministre de l'action et des comptes publics, chargé du numérique au sujet de la mise en place de l'application Alicem.
Depuis juin 2019, l'application Alicem - dont l'objectif est de simplifier les démarches administratives et de créer une identité numérique – est entrée dans sa phase de test.
L'administration publique doit s'adapter à l'ère du numérique et il est louable qu'une modernisation des démarches administratives en lien avec les usages numériques soit envisagée.
Il s'inquiète toutefois de la sécurité des données utilisées par l'application. Celle-ci s'appuiera en effet en partie sur la reconnaissance faciale permettant à l'utilisateur de prouver qu'il est bien le détenteur du titre d'identité. En obligeant l'utilisateur à avoir recours à la reconnaissance faciale, l'application soulève de nombreuses questions et inquiète.
D'abord, la commission nationale de l'informatique et des libertés (CNIL) a déclaré que cette obligation violait les dispositions du règlement général de la protection des données (RGPD). Ensuite les données biométriques récoltées sont extrêmement sensibles et l'enjeu de sécurité est donc majeur. Il se demande si le calendrier souvent évoqué dans la presse n'est pas précipité. À l'heure où le Sénat travaille sur la souveraineté numérique, il souhaiterait que ce projet soit l'œuvre d'une réelle réflexion avec les différents acteurs concernés.
Enfin, il souhaite s'assurer que l'usage de ces données sera strictement limité au cadre de l'application et qu'il ne permettra pas d'exécuter quelconque autre dessein sécuritaire.

- page 5363

Transmise au Ministère de l'intérieur


Réponse du Ministère de l'intérieur publiée le 18/06/2020

Le Gouvernement, dans le cadre d'un programme interministériel sur l'identité numérique (intérieur, justice, numérique) a fixé l'objectif de proposer à l'ensemble des citoyens « un parcours d'identification numérique universel et inclusif, plaçant les intérêts des utilisateurs au cœur des démarches ». Le décret n° 2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « authentification en ligne certifiée sur mobile » (ALICEM) permet la mise à disposition d'une première solution d'identification numérique sécurisée, qui vise le niveau élevé au sens du règlement européen du 23 juillet 2014 dit e-IDAS, sur mobile. Cette application permet à tout particulier, qui décide de l'utiliser, de prouver son identité sur Internet de manière sécurisée, à l'aide de son smartphone et d'un titre biométrique doté d'une puce (passeport ou titre de séjour). L'application ALICEM doit être mise à disposition du grand public au cours de l'année 2020 pour l'accès aux services présents sur FranceConnect. Cette mise en service permettra à celui-ci de se familiariser avec un moyen d'identification électronique à haut niveau de sécurité et de susciter le développement de services requérant ce niveau. L'application ALICEM est un prototype préfigurant une offre plus large d'identité numérique gouvernementale sécurisée, intégrant la possibilité d'utiliser la future carte nationale d'identité (CNI) électronique à cette fin. Sa mise en service n'interviendra qu'au terme de la finalisation des tests opérés depuis l'été 2019 auprès de volontaires et du rendu de l'avis de l'agence nationale de la sécurité des systèmes d'information (ANSSI) sur la satisfaction, par l'application, des exigences du niveau de garantie élevé au sens du règlement européen e-IDAS visant à accroître la confiance dans les transactions électroniques au sein de l'Union européenne. Le projet de décret a été soumis à la commission nationale de l'informatique et des libertés (CNIL) Par sa délibération du 18 octobre 2018, la commission n'a contesté ni les modalités des dispositifs techniques envisagé, ni les garanties que constitue le recours à la reconnaissance faciale, notamment en matière de sécurité. La seule réserve qu'elle a émise porte sur la base juridique du traitement des données biométriques. Dans sa délibération, la CNIL estime que, dans le traitement ALICEM, la personne concernée ne peut être regardée comme ayant donné son consentement explicite au traitement de ses données biométriques, considérant notamment que le ministère aurait dû développer une solution alternative à la reconnaissance faciale pour créer une identité numérique. Or, le recours par un usager à l'application ALICEM n'est en aucun cas obligatoire et sa non-utilisation n'entraîne aucun préjudice pour l'usager d'un service public en ligne. Pour accéder aux services en ligne partenaires de FranceConnect, il pourra ainsi toujours recourir à un autre moyen d'accès à ces services : de façon électronique : via la création d'un compte spécifique sur le service en ligne choisi, ou via les autres moyens d'identification électronique disponibles sur FranceConnect ; par les procédures administratives traditionnelles. L'application ALICEM fait appel à la reconnaissance faciale, afin d'éviter, via l'authentification ainsi permise, une usurpation d'identité. Conformément aux recommandations de la CNIL, l'étape de reconnaissance faciale fait l'objet d'un consentement spécifique et explicite, au tout début de la phase de création du compte et une information renseigne l'utilisateur sur les modalités d'utilisation de cette technologie. À ce stade, l'utilisation de la technologie de reconnaissance faciale correspond à la réalisation par l'utilisateur d'un « face-à-face » électronique destiné à l'authentifier, comme il le ferait en présence d'un agent public. La comparaison faciale n'est utilisée qu'une seule fois dans l'application ALICEM, à l'occasion de la création de son compte par un usager. Comme le prévoit l'article 10 du décret n° 2019-452 du 13 mai 2019, la photographie et la vidéo réalisées par l'utilisateur sont effacées instantanément après analyse. Il n'y a donc pas de constitution d'une base de données biométriques, l'application n'est reliée à aucune base de données existante et les éléments d'identité utilisés dans l'application sont uniquement recueillis dans la puce du titre possédé par son utilisateur à l'exclusion de toute interrogation d'une base de données centralisée. La photographie et les autres éléments d'identité, issus de la lecture de la puce du titre que détient l'utilisateur, sont conservés dans le smartphone et protégés par chiffrement. Ces modalités techniques de fonctionnement du dispositif ALICEM excluent toute utilisation par l'administration des données ainsi exploitées avec le consentement de l'utilisateur à des fins autres que celles de son identification.

- page 2831

Page mise à jour le