Alicem : vers un lancement en novembre malgré les critiques
La France lancerait en novembre son dispositif d'identité numérique Alicem, pointé du doigt par la Cnil et attaqué devant le Conseil d'État.
À quand l'ouverture d'Alicem au grand public ? D'après Bloomberg, ce sera en novembre.
Le ministère de l'Intérieur porte, avec l'Agence nationale des titres sécurisés (ANTS), ce projet d'application mobile destinée à la création d'identités numériques.
Ces identités peuvent être créées à partir des informations biométriques contenues dans des passeports et des titres de séjour électroniques.
L'application est en test depuis juin sur Android. Elle permet pour l'heure de s'identifier sur les services en ligne partenaires de FranceConnect.
Un décret paru le 16 mai 2019 au Journal officiel spécifie les modalités des traitements de données associés au dispositif.
Lire aussi : Vol de données : Marriott va payer 52 millions $
On y apprend notamment que l'image numérisée des empreintes digitales n'est pas récupérée sur les titres d'identité. Et que les données sont conservées chiffrées sur le téléphone de l'utilisateur.
Un projet attaqué sur le fondement du RGPD
Les garanties qu'apportent le ministère suffisent-elles à répondre aux exigences du RGPD ? La Cnil estime que non.
L'autorité note que le consentement des utilisateurs au traitement de données biométriques est censé faire office de base légale pour la mise en ouvre d'Alicem.
Elle affirme cependant que ce consentement ne peut pas être considéré comme libre.
La raison : la nécessité de recourir à un dispositif biométrique pour vérifier l'identité d'une personne n'est pas établie, y compris quand il s'agit d'atteindre le niveau de garantie « élevé » au sens du règlement e-IDAS. Or, le ministère ne propose pas d'alternative en l'état. Et ne semble en avoir l'intention, à en croire Bloomberg.
Elle affirme cependant qu'il n'est pas nécessaire de recourir à un dispositif biométrique pour vérifier l'identité d'une personne « compte tenu notamment de la possibilité de recourir à des dispositifs alternatifs de vérification ».
Sur ce fondement, La Quadrature du Net a attaqué le décret devant le Conseil d'État.
L'association dénonce plus globalement le risque d'un usage massif de la reconnaissance faciale. Son usage est effectivement requis pour la création de compte. Mais le ministère de l'Intérieur affirme que les données impliquées sont supprimées après la procédure.
Lire aussi : En attendant l'EUCS, Gaia-X donne un cap
Du côté de la Cnil, on s'interroge aussi sur l'effectivité de la portabilité des données pour les personnes concernées en cas de renouvellement d'un titre.
* Alicem pour « Authentification en ligne certifiée sur mobile »
Photo d'illustration © everything possible - Shutterstock.com
Sur le même thème
Voir tous les articles Cybersécurité