Passer au contenu

 Huit questions pour comprendre Alicem, l’appli de service public qui utilise la reconnaissance faciale

Le dispositif d’Authentification certifiée en ligne sur mobile, voulu par le gouvernement, est source de nombreuses interrogations. Jerôme Létier, le directeur de l’ANTS, en charge du développement de l’appli, répond à nos questions.

Décrétée en mai 2019, cette application d’« Authentification certifiée en ligne sur mobile » (Alicem) vise à permettre aux Français de vérifier leur identité sur Internet et ainsi de sécuriser leur accès aux services publics en ligne. C’est en effet une des volontés du gouvernement de donner une option supplémentaire aux citoyens et de faciliter leur l’accès aux interfaces du service public.
Mais, ce dispositif encore en gestation génère autant de fantasmes que d’inquiétudes, notamment sur la technique, l’utilisation et la sécurité des données ou encore la généralisation d’un tel système.
Revenons sur ce projet avec le directeur de l’Agence nationale des titres sécurisés (ANTS), Jérôme Létier, chargé de l’expérimentation, pour éclaircir ces interrogations.

  • Le mois de novembre a été évoqué pour le lancement de l’application Alicem, est-ce confirmé ?

Aujourd’hui, il n’y a pas d’information sur cette date. Pour la simple raison qu’il n’y a pas, à ma connaissance, de décision arrêtée du gouvernement. Ce pourrait être pour la fin de l’année 2019, comme on l’a entendu, ou pour le début 2020. Ce qui est tout à fait normal puisque l’application est encore en phase de test. C’est-à-dire qu’en interne une centaine d’employés de l’ANTS utilisent ce nouveau système. En ce moment, nous nous chargeons d’étudier leurs retours usagers. À la suite de ce test, Alicem entrera dans une phase de stabilisation. Il s’agit de sortir l’appli dès qu’elle sera sécurisée et de qualité.

  • À ce stade, le niveau de sécurité est-il suffisant pour des données dites « sensibles » ?

Nous nous sommes lancés dans Alicem sans naïveté. Nous savons qu’en informatique le risque zéro n’existe pas. Sur ce point, nous sommes épaulés par l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Nous sommes très vigilants à toutes les failles qui pourraient surgir, et si elles sont avérées, nous les colmatons.
J’aimerais revenir sur le stockage des données. Les seules informations que nous gardons sur un serveur central certifié sont les identifiants. Aucune photo n’est stockée par Alicem. Le cliché pris par l’usager lors de l’étape de reconnaissance faciale reste en local dans le téléphone de l’utilisateur. La comparaison entre le visage sur la pièce d’identité et la photo se fait alors en simultané. Surtout, il faut bien insister sur le fait que cette opération n’a lieu qu’une seule fois par périphérique. Le reste du temps pour accéder aux services publics via l’application, il faudra seulement entrer son code à six chiffres.

  • La Commission nationale de l’informatique et des libertés (Cnil) a émises de fortes réserves sur Alicem [PDF]. Pourquoi ne pas avoir suivi ses recommandations?

Je voudrais d’abord rappeler que nous travaillons en collaboration avec la Cnil. C’est pourquoi nous avons étudié avec attention leur avis. Au terme duquel, elle a d’ailleurs validé le dispositif dans son ensemble, malgré certaines réserves. L’autorité indépendante a pointé du doigt deux points sur lesquels nous divergeons. Concernant le délai de conservation : nous avons gardé le délai initial de six ans, alors que la Cnil recommandait six mois, car sinon Alicem ne pouvait plus prétendre au niveau de sécurité « élevé » délivré par l’ANSSI. Cette durée de conservation correspond d’ailleurs au temps de prescription pénale.
Ensuite, la question du consentement : dès juillet, nous avons ajouté une étape express avant le processus de reconnaissance faciale. L’usager doit expressément accepter pour continuer. Il a ainsi la possibilité de refuser. Mais, nous n’avons pas retenu la proposition de la Cnil de permettre à l’usager d’envoyer une vidéo ou une photo « physiquement » pour prouver son identité numérique.
Enfin, la Cnil avait pointé l’inégalité induite par le fait qu’Alicem ne soit exclusivement disponible sur Android. J’aimerais rappeler que cela est dû au refus catégorique d’Apple d’ouvrir son système NFC à des acteurs extérieurs. Mais, sa position a changé. L’entreprise californienne a déclaré récemment qu’elle ouvrirait. Et ce pas seulement à la France, mais à d’autres États. Elle sera compatible avec les appareils sous iOS 13. Nous travaillons donc sur une version Alicem compatible avec l’iPhone. Cela s’inscrit dans l’objectif du gouvernement de diffuser le plus possible ce mode d’identification supplémentaire, et que tous les citoyens puissent y avoir recours.

FranceConnect – Capture d’écran portail d’accès FranceConnect.
  • En juillet, la Quadrature du Net a déposé un recours devant le Conseil d’État [PDF], concernant le non-respect de la notion de « consentement libre et non-imposé ». Alicem viole-t-elle le règlement européen ?

Nous sommes très sereins sur le résultat et nous appliquerons la décision de justice. Mais, nous considérons que le recours à la reconnaissance faciale comme moyen de certification de l’identité numérique via Alicem est déjà, en soi, une option supplémentaire donnée aux citoyens par rapport aux autres systèmes d’identification en ligne (Améli, FranceConnect, impots.gouv.fr, etc.). Donc, l’usager a et aura toujours le choix. En outre, nous travaillons actuellement sur un autre moyen, qui ne soit pas la reconnaissance faciale pour assurer un système d’authentification « élevé ». 

  • Aux vues des exemples chinois ou indien, n’y a-t-il pas un risque, à terme, que la généralisation de la reconnaissance faciale entraîne la disparition des guichets physiques, ce qui pourrait aboutir à exclure certains citoyens ?

Pour moi, cela n’a pas de sens de comparer la France à l’Inde ou à la Chine, car nous sommes dans un État de droit. D’ici 2022, le gouvernement souhaite que la totalité ou la quasi-totalité des services publics soit disponible en ligne, et Alicem s’inscrit dans cette logique.
Mais, il ne faut pas opposer cette marche vers la dématérialisation à la qualité du service public. Il s’agit de faire coexister les deux : garder des guichets physiques pour accueillir les citoyens, tout en développant des options dématérialisées pour ceux qui sont à l’aise.
L’enjeu est d’accompagner grâce à des dispositifs de « service après-vente » public, dans une logique de qualité, d’accessibilité et d’inclusion.

  • Mais, quelles seraient les garanties contre un tel glissement ?

Alicem telle que nous l’avons pensée ne doit inspirer aucune inquiétude. C’est une simple option, elle n’a aucune vocation à devenir le canal unique d’accès aux services publics.
Le secrétaire d’État au Numérique s’est exprimé à ce sujet : il souhaite mettre en place une instance de supervision pour ouvrir le débat sur la reconnaissance faciale en France. Je pense que cela est nécessaire pour que les interrogations légitimes de l’opinion ne se transforment pas en angoisses.

  • Faire appel à une entreprise de droit néerlandais comme Gemalto pour développer une telle application n’est-ce pas contradictoire avec la souveraineté numérique chère à l’actuel gouvernement ?

Nous avons signé le contrat de développement d’Alicem avec le groupe français Thalès, qui vient de racheter la société Gemalto. Pour moi, c’est donc au contraire une avancée pour assurer la souveraineté numérique. Le marché de la reconnaissance faciale se développe rapidement. Si nous n’avions pas été force de proposition, nous aurions dû utiliser des solutions développées à l’étranger.

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Marion Simon-Rainaud