L'article à lire pour comprendre Alicem, l'application d'identité numérique par reconnaissance faciale qui fait polémique

Avoir accès à une déclaration d'impôts ou faire une demande d'allocation logement depuis une même application mobile. Le tout en plaçant son visage devant son smartphone. Ce n'est pas le scénario d'un épisode de la série dystopique Black Mirror, mais le projet du gouvernement baptisé Alicem, pour "Authentification en ligne certifiée sur mobile". 

En test depuis juin, cette application doit simplifier les démarches administratives et créer une identité numérique sécurisée. Alors qu'aucune date de sortie officielle n'a été communiquée, Alicem inquiète déjà les défenseurs des libertés sur internet. Au cœur de leurs craintes : la reconnaissance faciale, un système biométrique permettant de vérifier l'identité d'une personne et soupçonné d'engendrer le fichage des individus.

Comment fonctionne la reconnaissance faciale d'Alicem ? Existe-t-il un risque de fuite des données personnelles ? L'usage de cette application sera-t-il obligatoire ? Franceinfo fait le point sur ce service controversé. 

Qu'est-ce que Alicem ?

Alicem est un projet d'application mobile lancé par le ministère de l'Intérieur et l'Agence nationale des titres sécurisés (ANTS). Elle permettra à tout utilisateur de "prouver son identité sur internet de manière sécurisée" sur son téléphone, explique le ministère de l'Intérieur. Le projet prévoit un "niveau de sécurité élevé", qui contribuera à "la lutte contre l'usurpation d'identité en ligne".

La promesse d'Alicem est de simplifier les démarches administratives en ligne. "L'utilisateur n'a plus besoin de mémoriser plusieurs identifiants et plusieurs mots de passe", détaille le ministère de l'Intérieur. L'application donnera par exemple accès au site des impôts, au compte d'assurance-maladie ou encore à l'ANTS, qui gère notamment la création des cartes d'identité et des permis de conduire. 

En tout, plus de 500 services publics seront disponibles via Alicem, assure place Beauvau. Une application qui s'inscrit dans le programme Action publique 2022, dont l'ambition est d'assurer l'accès dématérialisé à tous les services publics d'ici trois ans. 

Comment ça fonctionne ?

Pour créer un profil Alicem, l'utilisateur devra être en possession d'un smartphone Android équipé d'une puce NFC (Near Field Communication), qui permet par exemple à un téléphone de se transformer en carte de paiement sans contact. L'application ne fonctionnera pas sur les téléphones Apple, dans un premier temps, car la marque américaine refusait jusqu'à juin d'ouvrir cette technologie sans contact aux autres applications que les siennes, justifie l'ANTS. L'usager devra aussi être titulaire d'un passeport ou d'un titre de séjour doté d'une puce sécurisée. 

Une fois l'application téléchargée, l'utilisateur entre son numéro de téléphone, accepte les conditions générales d'utilisation et saisit son adresse e-mail. Jusqu'ici, rien de révolutionnaire. Après avoir scanné la bande optique et la puce du titre d'identité, il choisit un code secret. 

C'est là qu'intervient la particularité d'Alicem : la reconnaissance faciale. Sans elle, impossible d'activer le compte. L'usager est soumis à une série de "challenges", pour "prouver" qu'il est bien "le détenteur du titre d'identité", comme le montre une vidéo de présentation de l'application, partagée par Baptiste Robert, chercheur en informatique.

Vous êtes nombreux à vous demander comment va fonctionner #Alicem, l'application d'identité numérique qui va débarquer sur vos téléphones très bientôt. Dans cette vidéo, le Ministère de l'Intérieur vous explique tout https://t.co/J5E1YUO10M

— Elliot Alderson (@fs0c131y) October 8, 2019

Ces "défis" invitent l'usager à sourire, cligner des yeux et tourner la tête. Les images sont alors comparées avec la photo présente sur le titre d'identité. Une fois cette ultime étape passée, l'identité numérique est créée et l'accès à Alicem se fait uniquement par code. La reconnaissance faciale n'intervient donc qu'au moment de la création du compte. 

C'est pour quand ?

Du côté du calendrier, c'est encore flou. Le décret autorisant la création de l'application a été publié en mai, mais l'application est toujours en phase de test. Dans un article paru jeudi 3 octobre, le média américain Bloomberg (article payant en anglais) avançait une sortie courant novembre. Une date jugée "prématurée" par Cédric O, dans une interview donnée au Monde (article payant), lundi. Le secrétaire d'Etat au Numérique souhaite attendre les premiers résultats d'une mission parlementaire sur l'identité numérique, qui pourrait être officialisée cette semaine selon L'Obs (article payant). Contacté par franceinfo, Jérôme Létier, directeur de l'ANTS, évoque une sortie probable de l'application "à la fin 2019 ou au début 2020".

Mais "le projet ne date pas d'hier", assure un membre l'ANTS. Une feuille de route gouvernementale, publiée en 2017, évoque une identité numérique sécurisée. Christophe Castaner, le ministre de l'Intérieur, a souhaité que "chaque Français, dès 2020, puisse prouver son identité" en ligne, dans un rapport paru en mai. Le texte mentionne que "le succès et la généralisation" des projets comme Alicem "constitueront les prémices d'une politique publique de l'identité numérique". 

Qui développe l'application ?

L'ANTS a signé un contrat de 3,4 millions d'euros avec Gemalto – une entreprise spécialisée dans la sécurité numérique et propriété du groupe français Thales – pour le développement d'Alicem. Contactée par franceinfo, la firme n'a pas souhaité s'exprimer sur l'avancée de l'application, ajoutant que la communication sur le projet a été confiée à l'ANTS. 

Gemalto a déjà travaillé sur des projets d'identité numérique, peut-on lire sur son site. Elle teste notamment un service intitulé Digital Driver License (DDL), qui permettra aux habitants de plusieurs Etats américains de numériser leur permis de conduire dans leur smartphone. Selon le chercheur en informatique, Baptiste Robert, "Gemalto a utilisé le cœur du fonctionnement de DDL pour Alicem, puisque dans les deux cas, il s'agit de stocker des données administratives", explique-t-il à franceinfo. Le directeur de l'ANTS défend de son côté "une création originale, conçue spécifiquement pour respecter le droit national et européen". 

Faut-il craindre que la conception d'une application d'identité numérique soit aux mains d'une entreprise privée travaillant pour des gouvernements étrangers ? Non, assure l'ANTS. "L'application restera la propriété unique de l'Etat. Gemalto n'aura aucune possibilité de réutiliser les développements mis en œuvre", promet Jérôme Létier. 

Quelles sont les données utilisées par Alicem ?

C'est l'un des points les plus sensibles de ce projet, le recueil des données personnelles, ces informations qui permettent d'identifier une personne. Selon le décret autorisant Alicem, l'application utilisera entre autres les données d'identification de l'usager et de son titre. 

Les informations comme le nom, l'adresse, le lieu de naissance et même la taille et la couleur des yeux seront chiffrées et stockées uniquement sur le téléphone de l'utilisateur. La photographie et la vidéo de l'usager prises lors de la reconnaissance faciale seront quant à elles transmises à l'ANTS, mais "effacées sitôt ces reconnaissances terminées". 

Enfin, d'autres données, comme celles "relatives à l'historique des transactions associées au compte", seront envoyées sur "un traitement centralisé" de l'ANTS et supprimées "à l'issue d'une période d'inactivité du compte de six ans", précise le décret. Une durée bien supérieure aux six mois recommandés par la Commission nationale de l'informatique et des libertés (Cnil) dans un avis rendu en 2018. La conservation de ces données techniques durant six ans est une exigence de l'Agence nationale de la sécurité des systèmes d’information (ANSSI), chargée d'assurer le niveau élevé de sécurité de l'application, explique l'ANTS. Elle permettra d'"accompagner les citoyens éventuellement victimes d'usurpation d'identité", détaille dans L'Obs le directeur de l'ANTS.

Mais "tout système est piratable. Il y aura des failles sur Alicem, c'est une certitude", assure l'expert en informatique Baptiste Robert. Sur ce point, les autorités se veulent réalistes. "Le risque zéro n’existe pas (...). Nous abordons cette mission avec une absence totale de naïveté", reconnaît Jérôme Létier dans l'hedomadaire. "Il faut garantir la sécurité d'Alicem dès son lancement, mais aussi pendant toute sa durée de fonctionnement", ajoute-t-il à franceinfo.

Pourquoi Alicem soulève des inquiétudes ?

Outre les risques de failles techniques, les critiques à l'encontre de l'application se concentrent sur le dispositif de reconnaissance faciale. Dans son avis, la Cnil s'alarme quant à l'obligation de recourir à ce système pour créer un compte Alicem, qui ne respecterait pas les dispositions européennes du règlement général sur la protection des données (RGPD). La législation européenne impose que "la personne concernée [donne] son consentement explicite" pour le traitement de ses données biométriques, rappelle la Cnil. Or, selon le gendarme du numérique, le consentement n'est pas libre, puisque le refus de se soumettre à la reconnaissance faciale empêche l'activation du compte. La Cnil invite donc les autorités à réfléchir à des "solutions alternatives", en mentionnant par exemple un face-à-face en préfecture ou en mairie. L'ANTS rétorque que la création d'un compte Alicem restera facultative et que les moyens d'accès aux services publics existants resteront valables.

Dans un recours déposé devant le Conseil d'Etat, en juillet, l'association de défense des droits sur internet La Quadrature du net critique également le caractère obligatoire de la reconnaissance faciale. Elle y voit un risque de "banalisation de cette technologie" et demande une annulation du décret autorisant Alicem. "La reconnaissance faciale est encore peu connue et mal comprise", explique Arthur Messaud, juriste de l'association, à franceinfo. Il appelle à la tenue de débats citoyens pour réfléchir collectivement "à l'acceptation culturelle de cette technologie". Une idée également évoquée par le secrétaire d’Etat au numérique, Cédric O, pour "examiner les questions légitimes sur l'équilibre entre usages, protection et libertés". 

Nous venons de déposer un recours contre l'appli. ALICEM : un projet d'identité numérique fondé sur un dispositif de reconnaissance faciale obligatoire, en violation du RGPD.

La stratégie assumée de @CCastaner est de mettre fin à l'anonymat en ligne.https://t.co/fozI5DgL6s

— La Quadrature du Net (@laquadrature) July 17, 2019

De son côté, l'ANTS affirme réfléchir à des solutions alternatives à la reconnaissance faciale, même si elles ne constitueront pas un "prérequis" au lancement de l'application.

Existe-t-il des alternatives à Alicem ?

Le ministère de l'Intérieur est formel : il n'y aura pas d'obligation de créer un compte Alicem pour accéder aux services publics en ligne. Les usagers pourront toujours se connecter via le portail FranceConnect ou créer un compte sur le site d'un service public spécifique. La possibilité de se déplacer physiquement dans une administration accueillant du public sera maintenue, précise le ministère dans un communiqué. 

Baptiste Robert redoute toutefois qu'Alicem finisse par s'imposer comme un service indispensable. "Demain on peut imaginer que le renouvellement d'un permis de conduire se fasse presque instantanément sur l'application ou en préfecture dans un délai de deux semaines", projette l'expert en sécurité informatique. Au risque d'accentuer la fracture numérique, déplore-t-il. En France, 13 millions de personnes n'utilisent pas ou peu internet, selon l'Agence du numérique. 

Va-t-on vers une généralisation de la reconnaissance faciale ?

Alicem "n'est pas une menace imminente, mais un danger pour demain", prévient Baptiste Robert. Les défenseurs de la liberté sur internet craignent que l'application soit un outil de "lutte contre l’anonymat en ligne". L'ANTS se veut quant à elle rassurante : "Il n'y a pas du tout de volonté de mettre en place une société de surveillance comme en Chine ou de scénario pour supprimer l'anonymat, il n'y a qu'un objectif clair et unique de protéger l'identité des Français", a insisté Jérôme Létier dans L'Obs. 

Mais l'association La Quadrature du net redoute que l'utilisation de la reconnaissance faciale s'étende au-delà d'internet. "On peut imaginer que la police en vienne à utiliser cette technologie pour identifier des manifestants dans la rue", suppose le juriste de l'association, Arthur Messaud. Sur l'usage de la reconnaissance faciale dans les caméras de vidéosurveillance, le secrétaire d'Etat au Numérique, Cédric O, s'est dit "extrêmement partagé" et souhaite en "définir très clairement le cadre et les garanties pour éviter la surveillance généralisée", précise-t-il au Monde. En février, une expérience de ce type à Nice avait suscité des réserves de la part de la Cnil.

J'ai eu la flemme de tout lire, vous me faites un résumé ? 

Depuis juin 2019, le ministère de l'Intérieur et l'Agence nationale des titres sécurisés (ANTS) testent une application mobile baptisée Alicem, pour "Authentification en ligne certifiée sur mobile". Le but de ce service, utilisant la reconnaissance faciale, est double : simplifier les démarches administratives en ligne et créer une identité numérique hautement sécurisée. Sa conception a été confiée à Gemalto, une entreprise détenue par le groupe français Thales. Alicem devrait être lancée d'ici à la fin de l'année ou début 2020. 

L'application fait déjà l'objet de plusieurs critiques, notamment sur le stockage des données personnelles. Mais c'est surtout son système de reconnaissance faciale qui suscite les controverses. La Cnil, le gendarme des données personnelles, s'inquiète qu'aucune alternative à ce processus ne soit proposée aux usagers. L'association La Quadrature du net a, pour sa part, déposé un recours devant le Conseil d'Etat, craignant une "banalisation de cette technologie". L'ANTS réfute toute mise en place d’une "société de surveillance".