Programme national d’identification par reconnaissance faciale en cours de déploiement en France

Protection de la vie privée

La France accélère le déploiement d’un programme national utilisant la reconnaissance faciale afin de générer des identités numériques légales pour ses citoyens.

reconnaissance faciale

Le programme s’appelle Alicem, un acronyme pour “authentification en ligne certifiée sur mobile“. Il a été développé conjointement par le ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés (ANTS), qui soulignent que l’objectif sera de : a) simplifier l’accès aux services en ligne tout en b) luttant contre le vol d’identité, c) en préservant la sécurité des données biométriques sur le téléphone, en les faisant disparaître après la validation de l’identité, et enfin d) en ne laissant aucun tiers accéder à ces données.

La France avait prévu de lancer l’application exclusivement sous Android d’ici Noël. Mais maintenant, elle semble vouloir accélérer le pas et prévoit une version opérationnelle dès novembre 2019, selon Bloomberg.

Les watchdogs garants de la protection la vie privée ne sont pas contents

La CNIL, l’autorité de contrôle du pays en matière de protection de la vie privée, a déclaré que le programme contrevenait à la règle du consentement de l’UE. Le Règlement Général sur la Protection des Données (RPGD) européen impose le libre choix. Bloomberg s’est entretenu avec Emilie Seruga-Cau, chef du service des affaires régaliennes et des collectivités territoriales à la CNIL, qui a déclaré que le régulateur indépendant avait clairement exprimé ses inquiétudes.

La publication, qui a pu avoir accès à l’application, indique qu’Alicem sera le seul moyen pour les citoyens français de créer une identité numérique légale et que la reconnaissance faciale sera le seul moyen d’y parvenir.

Les résidents devront utiliser une application Android pour créer des vidéos selfie uniques capturant leurs expressions et leurs mouvements sous différents angles, afin de les comparer à leurs propres photos stockées dans leurs passeports biométriques.

En parallèle, le groupe français de défense de la vie privée La Quadrature du Net (LQDN) a engagé une action en justice contre le programme devant la plus haute juridiction administrative de France.

L’avocat de LQDN, Martin Drago, a déclaré à The Telegraph que le gouvernement incitait les gens à utiliser Alicem et la reconnaissance faciale :

Le gouvernement veut inciter les gens à utiliser Alicem et la reconnaissance faciale. Nous nous dirigeons vers l’utilisation massive de cette technologie. [Il semble y avoir] peu d’intérêt pour l’importance du consentement et du choix.  

Les garanties en matière de sécurité mises en cause

Comme le fait remarquer Bloomberg, nous avons peut-être raison de mettre en doute les garanties du ministère de l’Intérieur selon lesquelles nous pouvons faire confiance à la protection des données biométriques qu’il compte collecter.

Le 17 avril 2019, le gouvernement français a lancé une application de messagerie chiffrée sécurisée appelée Tchap, jugée plus sûre que Telegram ou WhatsApp, accessible uniquement par les fonctionnaires et des politiques disposant de comptes de messagerie associés à des messageries provenant de domaines gouvernementaux.

Deux jours plus tard, le chercheur français en sécurité, Robert Baptiste, mieux connu sous son nom d’utilisateur sur Twitter Elliot Alderson trouvait, en 75 minutes, une faille de sécurité permettant à quiconque de créer un compte avec l’application Tchap et d’accéder aux groupes et aux divers canaux, et ce sans aucune adresse email officielle.

Le gouvernement français a promis que la sécurité d’Alicem était du plus “haut niveau”, une promesse qui ne dissipera pas les inquiétudes de Baptiste quant à sa mise en place précipitée. Bloomberg cite le chercheur :

Le gouvernement ne devrait pas se vanter de la sécurité de son système, mais plutôt accepter les critiques. Il devrait lancer un programme bug bounty avant de déployer une telle initiative, car la situation serait critique si des failles devaient être découvertes après que les citoyens aient commencé à l’utiliser, ou pire si l’application devait être piratée lors de l’inscription, au moment de la collecte des données de reconnaissance faciale.  

La France a promis de ne pas utiliser la reconnaissance faciale pour surveiller les citoyens, comme c’est le cas en Chine et à Singapour. Selon eux, les données biométriques ne seront pas intégrées aux bases de données regroupant l’identité des citoyens, comme dans ces pays. Au contraire, les données disparaîtront après la validation, ont-ils déclaré (et nous pouvons les croire car la promesse de données éphémères s’est révélée si efficace pour Snapchat et WhatsApp, entre autres, n’est-ce pas ?).

A ce stade, les critiques affirment que se précipiter pour adopter cette technologie représente un “risque majeur”, car de nombreuses questions restent en suspens concernant la manière avec laquelle elle sera utilisée à terme. Bloomberg a cité Didier Baichere, un législateur du parti au pouvoir qui siège à la commission “technologies du futur” du Parlement et qui est l’auteur d’un récent rapport sur le sujet.

Il a qualifié de “ridicule”, l’utilisation massive de la reconnaissance faciale sans mettre en place de “checks and balances” (à savoir des procédures de contrôles et de contrepoids).

La France est peut-être le premier pays de l’UE à utiliser une application nationale d’identification basée sur la reconnaissance faciale, mais elle est loin d’être le seul pays à adopter cette technologie. Selon un rapport du Carnegie Endowment for International Peace, l’utilisation des technologies de surveillance par Intelligence Artificielle se répand plus rapidement, et dans un plus grand nombre de pays, que préalablement anticipé par les experts.

Le rapport a révélé qu’au moins 75 pays sur 176 dans le monde utilisent activement les technologies d’Intelligence Artificielle à des fins de surveillance, notamment les plateformes de type Smart City/Safe City, actuellement utilisées par 56 pays; des systèmes de reconnaissance faciale, utilisés par 64 pays; et une police intelligente, désormais déployée par les forces de l’ordre dans 52 pays.


Billet inspiré de Nationwide facial recognition ID program underway in France, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.