GAFAM, Samsung, établissements bancaires et de nombreuses autres entreprises, y compris pour le contrôle d’accès sur les lieux de travail, utilisent la reconnaissance faciale depuis des années sans que les utilisateurs citoyens ne s’indignent de l’utilisation massive par les entreprises de leurs données notamment biométriques. Mais depuis le lancement de l’Application de Lecture de l’Identité d’un Citoyen En Mobilité (ALICEM) développée par l’Agence des Titres Sécurisés (ANTS) pour permettre aux détenteurs d’un passeport biométrique (ou d’un titre de séjour électronique) de se créer une identité numérique et faciliter l’accès à certains services sur Internet, administratifs ou commerciaux, et l’expérimentation d’un système d’accès par reconnaissance faciale au lycée, cette technologie est devenue un problème de société, comme si la défiance envers l’état devait encore être de nos jours plus grande que celle vis-à-vis des entreprises.
La CNIL vient de s’opposer à la mise en place d’un système de reconnaissance faciale que souhaitent expérimenter deux lycées à Nice et à Marseille. Le dispositif de reconnaissance faciale visait non seulement le contrôle d’accès mais également le suivi de trajectoire des lycéens et visiteurs.
“Ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaît ni nécessaire, ni proportionné pour atteindre ces finalités”
Le dispositif avait pour objectifs d’ “apporter une assistance aux agents assurant l’accueil du lycée afin de faciliter et réduire la durée des contrôles, lutter contre l’usurpation d’identité et détecter le déplacement non souhaité d’un visiteur non identifié”. Techniquement, après consentement des élèves, les gabarits faciaux, qui servent de comparaison avec l’image captée par la caméra, devaient être enregistrés sur un support individuel (badge ou application smartphone) et restés entre les mains des utilisateurs. Le dispositif reposait donc sur un système de stockage des données biométriques décentralisé, par opposition au système où les données sont centralisées sur des serveurs dédiés.
La CNIL rappelle que les données biométriques sont des données sensibles pour lesquelles le RGPD a mis en place d’une protection renforcée, a fortiori lorsque le traitement concerne des mineurs. Elle avait donc sollicité une analyse d’impact relative à la protection des données (AIPD) en application de l’article 35 du RGPD. La CNIL relève que l’AIPD communiquée ne visait que les portiques de reconnaissance faciale et pas le dispositif du suivi de trajectoire.
La CNIL rappelle le principe de minimisation selon lequel les données collectées doivent être “adéquates, pertinentes et limitées à ce qui est nécessaire au regard des finalités pour lesquelles elles sont traitées” (Article 5 du RGPD). Or, il existe plusieurs solutions alternatives permettant d’atteindre le même objectif, comme l’usage de badge d’accès et la présence de surveillants. Ainsi, les données biométriques « ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens » (considérant 39 du RGPD).
“A la différence d’un badge perdu ou détourné, la perte ou le détournement d’une donnée biométrique fait peser un risque majeur pour la personne concernée car la donnée biométrique compromise reste attachée à son identité, mais ne peut, contrairement à un badge ou un mot de passe, être révoquée ».
Au regard des principes de minimisation et de proportionnalité qui commandent que les données biométriques ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens, il convient de s’interroger sur la légalité des autres dispositifs traitant des données biométriques (lecteurs d’empreintes digitales, reconnaissance vocale ou faciale, etc.).
S’agissant du nouveau dispositif de reconnaissance faciale Authentification en LIgne CErtifiée sur Mobile (ALICEM), on trouve certains éléments de réponse dans la la délibération de la CNIL publiée au Journal officiel le 16 mai 2019, dans la foulée de la parution du décret n° 2019-452 du 13 mai 2019 qui autorise la création d’ALICEM.
Côté utilisateur, pour utiliser l’application mobile ALICEM et accéder au services publics sur Internet (impôts, Ameli, ANTS, etc.), l’usager devra disposer d’un passeport biométrique doté d’une puce sécurisée et d’un smartphone doté d’un lecteur sans contact permettant la reconnaissance faciale. Une fois l’application téléchargée, l’usager devra scanner son passeport pour remplir automatiquement certains champs, puis lire la puce du passeport avec le smartphone, grâce à une liaison sans contact NFC. Des données seront alors récupérées par l’application pour être vérifiées (en particulier l’authenticité, l’intégrité et la validité du document). ALICEM procédera à une reconnaissance faciale approfondie via un selfie et une vidéo prise en temps réel par l’utilisateur qui doit réaliser une série d’actions imposées par l’application (clignement des yeux, mouvement de la tête, mouvement du visage, etc). Ces actions seront présentées dans un ordre aléatoire afin d’éviter l’usurpation d’identité par l’usage d’une simple photo. Le serveur central d’ALICEM validera la création de l’identité numérique. Cette identité numérique est stockée dans le smartphone et les données sont chiffrées pour assurer leur protection. L’accès au compte ALICEM (dont l’accès est sécurisé par un code PIN que l’utilisateur devra définir) pourra s’effectuer via l’application mobile.
ALICEM va traiter:
- des données d’identification de l’usager: nom, nom d’usage, prénom(s), date, pays, département et lieu de naissance, nationalité, sexe, taille, couleur des yeux, adresse postale, photo du titre, photo et video prise pour la reconnaissance faciale, mail, numéro de téléphone et identifiant technique lié au compte;
- des données pour contrôler le titre appartenant à l’utilisateur: numéro du titre, autorité de délivrance, date de délivrance, date d’expiration, clé publique permettant de certifier l’authenticité du titre ;
- des données sur l’historique des transactions liées au compte ALICEM: nom du fournisseur de service, catégorie de la transaction, description courte et longue du fournisseur de service, statut de la transaction, date, date de mise à jour et date d’expiration de la transaction, priorité de la transaction.
Ces données ne sont partagées qu’auprès des services en ligne auxquels l’utilisateur choisit de se connecter et qu’après saisie par l’utilisateur de son code de sécurité. Seuls certains agents publics peuvent y avoir accès dans la limite du besoin d’en connaître. Certaines données seront conservées sur sur le smartphone de l’usager, sous son contrôle exclusif, jusqu’à désinstallation de l’application ALICEM, tandis que d’autres seront centralisées aux fins de contrôle.
ALICEM a pour finalité de :
- lutter contre l’usurpation d’identité et la criminalité, en mettant au point un canal plus difficile à frauder;
- simplifier des démarches administratives, alors que la totalité des services publics doit avoir un accès dématérialisé d’ici 2022;
- d’assurer la mission régalienne de l’état de certification de l’identité numérique.
Pour la CNIL, si le consentement de la personne est effectivement sollicité pour la création d’une identité numérique, ce consentement n’est pas libre puisqu’en cas de refus, il n’est alors plus possible de se créer ladite identité par des moyens alternatifs.
“Le consentement n’est susceptible que dans l’hypothèse où la personne concernée dispose d’un contrôle et d’un choix réel concernant l’application ou le refus des conditions proposées ou encore de la possibilité de les refuser sans subir de préjudice (…) Le refus du traitement des données biométriques fait obstacle à l’activation du compte, et prive de portée le consentement initial à la création du compte”.
La CNIL propose donc des moyens alternatifs pour créer son identité numérique comme un face-à-face en préfecture ou en mairie. En cas d’impossibilité de se déplacer, un appel vidéo en direct avec un agent, etc. Seule la mise en place de moyens alternatifs permet de garantir le consentement puisque chaque personne a le choix entre la reconnaissance faciale et une alternative crédible et fonctionnelle.
Enfin, la création d’un compte ALICEM restera facultative et les usagers pourront toujours créer un compte spécifique sur le service en question, utiliser FranceConnect (compte unique créé pour accéder à l’ensemble des services partenaires de FranceConnect) ou passer par la procédure administrative traditionnelle, par courrier ou en se rendant sur place.
Indépendamment des risques inhérents à tout traitement de piratage et de fuite de données que connaissent déjà nombreuses entreprises et qui suscitent étonnement peu d’émoi des utilisateurs citoyens et associations face à l’ampleur du phénomène grandissant, certains craignent l’utilisation étatique de la reconnaissance faciale à des fins sécuritaires.
L’Electronic Frontier Foundation, l’ACLU et autres associations de défense luttent contre cette technologie qui permet d’identifier les citoyens dans la rue, les magasins, les aéroports, les stades, et les manifestants pour interpeler des personnes recherchées, ou à des fins de publicités ou promotions ciblées.
La Quadrature du Net a déposé un recours devant le Conseil d’État le 15 juillet 2019 et demander l’annulation du décret n° 2019-452 du 13 mai 2019 qui autorise la création d’ALICEM au motif que, faute d’alternative au dispositif de reconnaissance faciale, le consentement de l’usager n’est pas libre. Mais la Quadrature du Net soulève également les risques de “normaliser la reconnaissance faciale comme outil d’identification“. Elle dénonce “un outil non pas au service du citoyen mais contre lui, pour lutter contre l’anonymat en ligne, pourtant fondamental pour l’exercice de nos droits sur Internet“.
La reconnaissance faciale est déjà utilisée dans le cadre du Traitement des Antécédents Judiciaires (TAJ) opéré par la police et la gendarmerie, qui contient plusieurs millions de fiches de personnes mises en cause avec photos, qui permet aux enquêteurs d’utiliser la comparaison faciale dans une procédure pénale. Si les tablettes NEO des forces de l’ordre ne permettent pas actuellement la consultation des fichiers à partir de données biométriques, l’appareil photo intégré pourrait offrir des perspectives intéressantes et NEO pourrait être un vecteur de contrôle et d’identification des personnes recherchées, ou des étrangers en situation irrégulière, et de contrôle aux frontières.
La Quadrature du Net dénonce le fantasme sécuritaire: si on peut scanner tous les passants et identifier ceux qui sont suspects, alors la criminalité reculera et la sécurité augmentera. Mais le taux de reconnaissance reste très bas, et des identifications erronées peuvent conduire à des interpellations infondées.
La Quadrature du Net rappelle également les dérives du secteur privé:
“On peut s’opposer à un prélèvement d’ADN. Mais comment s’opposer aux photos de soi ? Facebook applique un logiciel de reconnaissance faciale aux photos postées par ses utilisateurs. Si un « ami » n’est pas reconnu, le site invite même les utilisateurs à identifier leurs proches. Même en n’ayant jamais eu de compte Facebook, vous figurez peut-être dans cette immense base de données, et Facebook sait mettre votre nom sur votre visage, et vous reconnaître parmi toutes les nouvelles photos postées par vos amis… Malgré vous, votre visage a un sens pour les caméras qui vous filment. Les pseudo-sciences du 19e siècle prétendaient lire des traits psychologiques dans les traits du visage. Aujourd’hui, chaque visage dans la rue porte un casier judiciaire, un nom, des relations, des opinions exprimées sur les réseaux sociaux, des habitudes de consommation, des engagements divers, et qui sait quoi d’autre encore.”
Au même moment, San Francisco devenait la première ville des Etats-Unis à imposer des limites à la reconnaissance faciale en l’interdisant aux services municipaux et à la police mais pas au secteur privé ni à l’aéroport où la sécurité est du ressort de l’Etat fédéral.
« La propension de la technologie de reconnaissance faciale à mettre en danger les libertés civiles surpasse substantiellement ses bénéfices supposés (…) La technologie va exacerber les injustices raciales et menacer notre capacité à vivre libres de la surveillance permanente du gouvernement ».
Pour conclure, on notera que les principes de minimisation et de proportionnalité sont à géométrie variable. Dans le cas des portiques lycéens, la CNIL estime que les données biométriques ne devraient être traitées que si la finalité du traitement ne peut être raisonnablement atteinte par d’autres moyens. En d’autres termes, si il existe d’autres moyens d’identifier, la reconnaissance faciale doit être exclue. Dans le cas d’ALICEM, la CNIL se place sur le terrain du consentement et recommande la mise en place d’autres moyens que la reconnaissance faciale pour créer son identité numérique. Dans un cas, l’existence de moyens alternatifs interdit la reconnaissance faciale tandis que dans l’autre, elle l’autorise.
https://www.numerama.com/politique/559511-alicem-tout-comprendre-au-dispositif-de-reconnaissance-faciale-controverse-du-gouvernement.html
La Cnil s’oppose à la reconnaissance faciale à l’entrée des lycées
https://www.nextinpact.com/news/108256-quand-france-se-lance-dans-reconnaissance-faciale.htm