Par Gérard Haas et Lucie Brecheteau
Conseil d'État, Chambres réunies, Décision nº 432656 du 4 novembre 2020
Si l’application Alicem (« Authentification en ligne certifiée sur mobile ») a largement été décriée, elle a pourtant été validée par le Conseil d’État le 4 novembre dernier.
Dans sa décision, le juge administratif suprême a rejeté le recours formé par la Quadrature du Net qui visait à l’annulation du décret du 13 mai 2019[1] autorisant la création de ce moyen d'identification électronique, en arguant la conformité du dispositif aux dispositions du Règlement Général sur la Protection des Données (RGPD) et de la loi Informatique et Libertés.
1. Le rappel des faits
Au cœur de cette décision se trouve Alicem, un projet de traitement automatisé ayant pour finalité de proposer aux titulaires d'un passeport ou d’un titre de séjour biométrique la délivrance d'un moyen d'identification électronique, leur permettant de s’identifier et de s’authentifier auprès d’organismes, tant publics que privés[2].
Pensée à l’ère de la digitalisation croissante des procédures administratives, Alicem s’impose comme une solution numérique capable de surmonter des enjeux d’ordre sécuritaire :
- Assurer un niveau de garantie « élevé » au sens du règlement européen « eIDAS » du 23 juillet 2014[3], dont l’ambition est d’accroître la confiance dans les transactions électroniques pour les services en ligne au sein de l’Union européenne.
- Contribuer à la lutte contre l’usurpation d’identité en ligne, et de façon plus générale, contre la cybercriminalité, grâce à une identité numérique garantissant un niveau élevé de sécurité pour les utilisateurs.
La particularité d’Alicem réside dans l’usage d’un système de reconnaissance faciale, destiné à s’assurer de l’exactitude de l’identité alléguée par la personne recourant à ce dispositif. Toutefois, le recours à un tel procédé n’est pas anodin, puisqu’il implique le drainage de nombreuses données personnelles, et particulièrement de données biométriques, dont le traitement est strictement encadré par le RGPD et la loi Informatique et Libertés du fait de leur caractère hautement sensible.
Face à ces enjeux considérables, tant en matière de protection des données personnelles qu’au regard des risques d’atteintes aux droits et libertés individuels, l’association de défense des libertés numériques a attaqué le décret autorisant la création du dispositif dans le cadre d’une requête adressée au Conseil d’État le 15 juillet 2019[4].
Dans son argumentation, la Quadrature du Net faisait notamment valoir la position de la CNIL, qui avait souligné l’importance de subordonner le traitement projeté à des solutions alternatives au recours à la biométrie, pour ainsi permettre aux personnes concernées de consentir de manière effective au traitement de leurs données biométriques lors de l’activation du compte Alicem[5].
2. La décision du Conseil d’État
Comme l’a rappelé le Conseil d’État au cœur de son raisonnement, le système de reconnaissance faciale constitue la clé de l’application Alicem. En effet, aucun autre moyen permettant l’authentification de l’usager de manière entièrement dématérialisée, et offrant un niveau de garantie suffisamment élevé, n’existait à la date du décret contesté par la Quadrature du Net. Ainsi, le recours à la reconnaissance faciale s’avérait nécessaire au déploiement d’un tel dispositif.
Toutefois, le droit européen comme le droit national se montrent particulièrement protecteurs s’agissant de ce domaine sensible.
En effet, l’article 9 du RGPD et l’article 6 de la loi Informatique et Libertés interdisent les traitements utilisant des données biométriques aux fins d’identification d’une personne physique de manière unique. Bien que strict, ce principe est toutefois assorti d’un certain nombre d’exceptions, au rang desquelles se trouvent l’obtention du consentement explicite de la personne concernée[6], ou encore l’existence de motifs d’intérêts publics[7].
En l’espèce, le traitement semble être fondé sur le consentement explicite du fait du fonctionnement de l’application, qui subordonne la création du compte de l’utilisateur à l’acceptation des conditions générales d’utilisation d’une part, mais également à celle du traitement de reconnaissance faciale, d’autre part.
Toutefois, le dispositif Alicem permet-il aux personnes concernées de consentir librement[8] au traitement de leurs données personnelles ?
A cette question essentielle, la réponse du Conseil d’État est univoque : dès lors qu’un usager refuse de donner son consentement au traitement de reconnaissance faciale mis en œuvre dans le cadre de l’application Alicem, ce dernier ne subit aucune conséquence négative quant à la nature des services accessibles. En effet, il peut accéder, grâce à un identifiant unique, à l'ensemble des services publics proposés en ligne, en particulier par le biais de FranceConnect.
Ainsi, la seule conséquence négative que pourrait subir un usager refusant de consentir à ce traitement serait d’ordre sécuritaire : en cas de refus, ce dernier renonce à bénéficier d’un niveau de protection renforcée contre l’usurpation d’identité dans le cadre de l’utilisation des téléprocédures administratives.
Enfin, et pour clore son argumentation, le Conseil d’État a également souligné le caractère adéquat et proportionné du recueil des données au regard de la finalité poursuivie par l’application Alicem.
3. La portée de cette décision
La décision du Conseil d’état marque un point de rupture dans la lignée jurisprudentielle relative à la reconnaissance faciale, ou à des sujets connexes, tels que l’implantation de caméras thermiques au sein des établissements scolaires.
En effet, le Tribunal Administratif de Marseille avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur visant à expérimenter la reconnaissance faciale à l’entrée de deux lycées de la région[9]. Les juges administratifs avaient en effet suivi le raisonnement de la CNIL en la matière, qui considérait une telle expérimentation comme contraire aux principes fondamentaux de proportionnalité et de minimisation des données issus du RGPD.
Plus récemment, le Conseil d’État avait demandé à une commune de mettre fin à l’usage de caméras thermiques au sein de ses écoles au regard de l’illicéité du traitement des données personnelles de santé[10].
Dans un avenir proche, la carte d’identité numérique suscitera également de nouveaux bouleversements dès lors que la biométrie se trouvera, encore une fois, au cœur des débats.
***
Le Cabinet HAAS Avocats, fort de son expertise depuis plus de 20 ans en matière de nouvelles technologies, accompagne ses clients dans leur démarche de conformité au RGPD. Si vous vous sentez concernés par le sujet de la reconnaissance faciale ou de l’intelligence artificielle d’une manière plus générale, n’hésitez pas à faire appel à nos experts pour vous conseiller contactez-nous ici.
[1] Décret n°2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ».
[2] Article 1er du Décret n°2019-452 du 13 mai 2019 autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile ».
[3] Règlement (UE) n°910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE
[4] En ce sens : https://www.laquadrature.net/wp-content/uploads/sites/8/2019/07/1084951458_DECR_ALICEM_REQ.pdf
[5] Délibération n° 2018-342 du 18 octobre 2018 portant avis sur projet de décret autorisant la création d'un traitement automatisé permettant d'authentifier une identité numérique par voie électronique dénommé « Application de lecture de l'identité d'un citoyen en mobilité » (ALICEM) et modifiant le code de l'entrée et du séjour des étrangers et du droit d'asile demande d'avis n° 18008244
[6] Article 9, 2°, a) du RGPD
[7] Article 9, 2°, g) du RGPD
[8] En ce sens : article 4, 11° du RGPD et considérant 42 du RGPD
[9] TA Marseille, 27 février 2020, n°1901249
[10] Conseil d’État, ordonnance du 26 juin 2020, n°441065. En ce sens, voici notre article sur le sujet : https://info.haas-avocats.com/droit-digital/le-conseil-detat-interdit-lusage-de-cameras-thermiques-dans-les-ecoles