Identités numériques de confiance

Dans le prolongement de son programme de recherche sur les identités numériques, ayant notamment donné lieu à la publication des ouvrages pluridisciplinaires Identités numériques en mars 20161 et Identités numériques en tension - Entre autonomie et contrôle en janvier 20192, la Chaire de recherche Valeurs et Politiques des Informations Personnelles organise un cycle de conférences intitulé « Identités numériques de confiance ».

Cette question constitue désormais un sujet qui nous oblige à des réponses pratiques tant au niveau français, européen qu’international.

Une actualité réglementaire à l’aune des questionnements de société

Au niveau européen, la thématique de l’identité numérique, « facteur important pour améliorer la protection des frontières et la gestion des flux migratoires et assurer la transition vers une union de la sécurité réelle et effective »3, s’inscrit dans la lutte contre la fraude documentaire et l’usurpation d’identité.

Afin de faciliter principalement l’identification des citoyens non européens qui franchissent ou envisagent de franchir les frontières de l’Union, deux règlements européens adoptés le 20 mai 2019 établissent les conditions d'interopérabilité des systèmes d’information dans les domaines, d’une part, des frontières et des visas (Règlement 2019/8174) et, d’autre part, de la coopération policière et judiciaire, l'asile et l'immigration (Règlement 2019/8185). Pas moins de huit systèmes d’information sont concernés : le système d’information Schengen (SIS), le système Eurodac6, le système d’information sur les visas (VIS), la base de données d’Interpol sur les documents de voyage volés et perdus (SLTD) et les données d’Europol ainsi que trois nouveaux systèmes : le système d’entrée/de sortie (EES), le système européen d’information et d’autorisation concernant les voyages (ETIAS) et le système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN).

Ces textes, très techniques, créent notamment un répertoire commun de données d’identité (Common Identity Repository ou CIR). Celui-ci contiendra un dossier individuel regroupant certaines des données biographiques et biométriques des personnes enregistrées dans les systèmes d’information VIS, EES et ETIAS. Le contrôle de leur application, dans le respect de nos textes fondamentaux, est placé sous la supervision des autorités nationales de contrôle (dont notamment de la CNIL) et du contrôleur européen de la protection des données.

Outre l’interopérabilité des bases de données concernant les ressortissants des pays tiers, la sécurisation des cartes d’identité des citoyens de l’Union européenne a été accrue cet été le 20 juin 2019 par l’adoption du règlement 2019/1157 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour7. Les discussions, qui pourraient à termes concerner 370 millions de citoyens dans 26 États membres, ont notamment porté sur les données biométriques qu’il convenait d’enregistrer (image faciale accompagnée de l’image de deux empreintes digitales ou « simple » extrait de ces empreintes). À cet égard, le contrôleur européen a publié un avis motivé et détaillé dans lequel il estime « que la proposition ne justifie pas suffisamment la nécessité de traiter deux types de données biométriques dans ce cadre, alors que l’objectif déclaré pourrait être atteint par une approche moins intrusive »8.

Concrètement, la France doit faire évoluer son modèle de carte d’identité nationale pour le 2 août 2021. Celle-ci se présentera au format « carte de crédit ». Elle devra intégrer l’image faciale et deux empreintes digitales du titulaire de la carte, stockées sur une puce « hautement sécurisée » sans contact dans un format numérique interopérable. La carte d’identité nationale pourra comprendre un composant avec une double interface ou un support séparé stockant des données nationales pour des services d'administration en ligne ou de commerce électronique. Ces données devront être physiquement ou logiquement séparées des données biométriques9.

Autre maillon de la chaîne de confiance, notamment pour les transactions électroniques, le Règlement 910/2014 dit règlement eIDAS10 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur doit être réexaminé par la Commission européenne au plus tard le 1er juillet 202011. Le texte porte notamment sur la reconnaissance mutuelle entre les États membres de l’Union des moyens d’identification électronique. Il prévoit la possibilité pour les États de notifier à la Commission le(s) schéma(s) d’identification interopérable(s) utilisé(s) au niveau national. Alors que dix-huit schémas d’identification ont d’ores et déjà été notifiés par quatorze États12, que l’Estonie s’est lancée dès 2002 dans le déploiement de l’identité numérique, suivie par de nombreux États comme la Belgique, l’Autriche et l’Allemagne, la France n’a notifié aucun schéma.

Notre pays réfléchit toujours aux modalités de déploiement d’un parcours d’identification numérique sécurisé utilisable aussi bien par les services publics que les acteurs privés. Plus précisément, l’objectif confié en janvier 2018 à la mission interministérielle menée par Valérie PENEAU « consiste à développer pour l'ensemble des citoyens, des étrangers en situation régulière et des entreprises, un parcours d'identification numérique fluide s'intégrant au sein de la Plateforme Numérique de l'État et de France Connect »13. Ce parcours doit comprendre au moins deux niveaux, les niveaux de garantie « faible » et « élevée » du règlement eIDAS. Mais alors que l’élaboration des solutions devait être « effective pour la rentrée 2019 », les conclusions de la mission n’ont pour l’instant pas été rendues publiques.

Entre temps, le Conseil du numérique a été saisi en juillet 2019 par le secrétaire d’État chargé du numérique, Cédric O, afin de mettre en lumière les usages et l'imbrication du futur dispositif d’identité numérique avec la dématérialisation des services publiques14. La présentation des consultations visant à faire émerger les recommandations est prévue ce début 2020.

De son côté, l’Assemblée nationale a lancé fin octobre 2019 une mission d’information sur l’identité numérique présidée par Marietta Karamanli, accompagnée ses collègues députées Christine Hennion et Paola Forteza. L’objectif affiché est ambitieux : « nous permettre d’assurer que les choix technologiques, l’encadrement juridique, la gouvernance et le modèle économique de l’identité numérique en France ouvriront la voie au développement d’une citoyenneté numérique basée sur la confiance »15. Les députées ont débuté leurs auditions, auditions auxquelles Claire Levallois-Barth a pris part16.

Parmi les nombreuses questions abordées portant à la fois sur les opportunités économiques permises par le développement de nouvelles solutions d’identités numériques dans lesquelles les citoyens puissent avoir confiance, la simplification des usages, l’inclusion et les risques de discrimination, les interactions entre les pouvoirs publics et le secteur privé, le contrôle par l’utilisateur de son identité et de ses données, on retiendra plus particulièrement celle portant sur la définition même de l’identité numérique. À cet égard, les auditions font ressortir la difficulté à cerner cette notion, qui est en cours de construction, donc en l’état, dynamique.

La notion d’identité numérique, une notion polysémique

L’identité numérique peut notamment être définie par référence à un titre électronique d’identité (un passeport, une carte d’identité doté d’une puce), à une preuve d’identité en ligne ou à un moyen d’identification électronique permettant à un individu de prouver qu’il est bien le titulaire habilité à accéder à certains services en ligne17. De façon classique, l’identité numérique peut être envisagée comme le prolongement de l’état civil dans l’espace numérique, un regard extérieur qui considère la personne comme une somme de caractéristiques stables afin de l’identifier, de l’individualiser sans équivoque dans la continuité. À ce propos, Paul Ricœur, dans son ouvrage Soi-même comme un autre, souligne la « continuité ininterrompue entre le premier et le dernier stade du développement de ce que nous tenons pour le même individu… : ainsi disons-nous du chêne qu’il est le même, du gland à l’arbre entièrement développé »18.

L’identité numérique peut également être entendue dans un sens plus large, du point de vue de la personne, de la façon dont elle entend se présenter aux autres : il s’agit ici de l’identité qu’elle se donne, qu’elle se choisit, comme projection active, contribuant donc à son autodétermination. Rappelons que la Cour Européenne des Droits de l’Homme (CEDH) a jugé que « le respect de la vie privée exige que chacun puisse établir les détails de son identité d'être humain et que le droit d'un individu à de telles informations est essentiel du fait de leurs incidences sur la formation de la personnalité »19. Ainsi, la Cour consacre un « droit à l’identité » protégé par l’article 8 de la Convention européenne des droits de l'homme20. L’utilisation d’un réseau social est en la parfaite illustration : de sa propre initiative, la personne choisit la manière dont elle entend s’identifier, donne à voir des éléments de son identité vécue : ses centres d’intérêts, ses photos, ses relations avec ses « amis », ses opinions… C’est ce que souligne le G29 dans son avis sur les réseaux sociaux. Ainsi les autorités de contrôles nationales estiment que ces derniers « devraient donc pouvoir justifier le fait de contraindre leurs utilisateurs à agir sous leur véritable identité plutôt que sous un pseudonyme »21.

Et nous avons pu démontrer, à travers le sondage que la Chaire Valeurs et Politiques des Informations Personnelles a réalisé en mai 2019, que les utilisateurs adoptent de véritables stratégies pour se présenter comme ils l’entendent : 75% des répondants possèdent plusieurs adresses électroniques et 60% utilisent plusieurs pseudonymes tandis que 31% recourent à, au moins, une fausse identité22.

Cependant, nous devons reconnaître que la multiplication des identifiants et des mots de passe (93% des répondants utilisent plusieurs mots de passe, soit une augmentation de 4 points par rapport à notre précédent sondage réalisé en mars 2017)23 présente une certaine complexité, un faible niveau de sécurité et un risque d’utilisation des données personnelles par des tiers mal intentionnés.

Or, la conception même de la notion d’identité numérique conditionne la délimitation de son périmètre, et donc le champ d’intervention du législateur. Faut-il reconnaître le principe d’un droit à l’anonymat dans l’espace public ? D’un droit au pseudonymat ? Dans quels cas imposer l’utilisation du « vrai » nom ?

Les enjeux soulevés au regard du RGPD

L’application même du Règlement Général 2016/679 sur la Protection des Données personnelles (RGPD) se trouve ici questionnée24. Convient-il d’adopter des dispositions particulières pour encadrer l’utilisation des données biométriques, données classées comme « sensibles » depuis l’adoption du RGPD25 ? À l’instar de San Francisco ou de Seattle, faut-il interdire l’utilisation de certaines technologies d’identification dans l’espace public ? 26 Dans quels cas d’usage ? De quelles finalités et de quel niveau d’identification doit-il alors être question ?

À cet égard, la CNIL a estimé en séance plénière le 17 octobre 2019 que des expérimentations portant sur un « portique virtuel » de contrôle d’accès par reconnaissance faciale à l’entrée de deux lycées à Nice et Marseille étaient contraires aux grands principes de proportionnalité et de minimisation des données posés par le RGPD27. Les finalités de prévention des intrusions et d’usurpation d’identité ainsi que l’objectif de réduction de la durée des contrôles concernant des élèves, pour la plupart mineurs, peuvent selon la Commission être atteintes par des moyens beaucoup moins intrusifs, par exemple un contrôle par badge.

La question de la biométrie sous l’angle du consentement s’est également invitée dans le débat sur l’identité numérique mobile à propos de l’application ALICEM développée par le ministère de l’intérieur28. La solution prévoit en effet que pour activer son compte, la personne prouve qu’elle est bien celle qu’elle prétend être afin d’atteindre le niveau de garantie « élevée » de l’identité numérique au sens du règlement eIDAS. À cette fin, elle doit impérativement se filmer en réalisant plusieurs « défis » comme cligner des yeux, bouger la tête et le visage. La vidéo permet ensuite à l’Agence des Titres Sécurisés (ANTS) de vérifier qu’il s’agit bien de la personne en possession du téléphone (reconnaissance faciale dynamique) et d’extraire une photographie qui est comparée avec la photographie figurant dans son passeport ou son titre de séjour électronique (reconnaissance faciale statique).

Dans une délibération du 18 octobre 2018, la CNIL a pointé l’incompatibilité d’ALICEM au regard du RGPD. Le principal argument porte sur le caractère obligatoire de la reconnaissance faciale. La Commission rappelle que, conformément à la position retenue par le groupe de travail de l’article 29 (G29)29 et reprise par le Comité européen de protection des données, « dans l’hypothèse où la fourniture d’un service est subordonnée au consentement au traitement des données personnelles, ce consentement n’est libre que si le traitement de données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée … En l’espèce, le refus du traitement des données biométrique fait obstacle à l’activation du compte, et prive de portée le consentement initial de l’activation du compte »30.

Si le décret n° 2019-452 autorisant la création d’ALICEM a été publié le 13 mai 2019 malgré l’avis de la CNIL31, une ouverture, disponible à ce stade uniquement sur téléphone Android doté d’un système sans contact NFC, a été évoquée pour novembre 2019, date reportée ultérieurement à mi-2021. Outre, semble-t-il, un débat sur l'origine de la technologie mise en oeuvre32, un recours en annulation du décret n° 2019-452 au Conseil d'État a été déposé par l'association La Quadrature du Net le 15 juillet 201933. La Quadrature émet les mêmes inquiétudes que la CNIL à propos du non-respect de la notion de « consentement libre et non imposé », doublée de la crainte qu’ALICEM menace à terme l’anonymat en ligne.

Vers un possible changement de paradigme de la surveillance

Au-delà de ces expérimentations ponctuelles, la CNIL a lancé un appel à un « débat à la hauteur des enjeux » le 15 novembre 201934. Comme le souligne la Commission, « le remplacement des contrôles humains de vérification de l’identité des personnes par des contrôles réalisés par des traitements algorithmiques, modifie, par lui-même, le potentiel de surveillance ». Le risque est alors grand que des glissements progressifs conduisent à un changement de paradigme de la surveillance : « le passage d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains ».

Ce possible changement de paradigme est également débattu au niveau européen.

Certains défenseurs de la vie privée, comme Statewatch, perçoivent la mise en place de l’interopérabilité des bases de données concernent les citoyens non européens comme le « point de non-retour » d’une politique de fichage destinée à se généraliser35. Selon l’organisation non gouvernementale, le risque porte désormais sur la généralisation des cartes nationales d’identité biométriques et le versement des données qu’elles contiennent dans une future base de données biométriques centrale, ce qui permettrait un suivi sans précédent de 440 millions de citoyens de l’UE. Précisons que pour l’heure le règlement Cartes d’identité ne prévoit pas la création d’une telle base centralisée36.

Le Contrôleur européen à la protection des données souligne lui aussi dans son avis sur les propositions de deux règlements portant établissement d’un cadre pour l’interopérabilité des systèmes d’information à grande échelle de l’UE la possibilité d’un point de non-retour, précisant : « la décision du législateur de l’UE de rendre les systèmes informatiques à grande échelle interopérables aurait non seulement une incidence profonde et durable sur leur structure et leur mode de fonctionnement, mais modifierait également la façon dont les principes juridiques ont été interprétés dans ce domaine jusqu’à présent, marquant ainsi un «point de non-retour » 37. Il souligne également que « l’interopérabilité n’est pas seulement ou principalement un choix technique, mais plutôt un choix politique susceptible d’avoir des conséquences juridiques et sociétales profondes».

Se trouve ainsi questionné l’exercice même de nos droits et libertés fondamentaux : notamment notre liberté de circulation, notre droit au respect de la vie privée, à la protection de nos données personnelles.

Dès lors, comment concilier nos valeurs européennes avec des impératifs de sécurité et d’instauration d’un climat de confiance dans l’environnement numérique ? Selon quels critères déterminer les cas où il est nécessaire d’établir l’identité d’une personne sans que subsiste le moindre doute ? Les situations dans lesquelles le citoyen doit lui-même choisir les éléments de son identité vécue ? Comment traduire cette nécessité dans des systèmes techniques dans lesquels nous pourrions accorder notre confiance ?

À cet effet, afin de tenter de répondre collectivement à ces questions en connaissance de cause, et dans la suite logique de nos travaux menés depuis avril 2013 sur ces sujets, la chaire Valeurs et Politiques des Informations personnelles vous invite à participer à son prochain cycle de conférences sur les Identités numériques de confiance.

« Le règlement (UE) eIDAS, déclinaison française et perspectives » le jeudi 2 avril 2020 de 14h à 16h30 dans les locaux de Sopra Stéria,

« Identités numériques, données biométriques et reconnaissance faciale » le jeudi 11 juin 2020 de 14h à 16h30 dans les locaux de Orange Garden,

« Les différentes facettes des identités numériques » en septembre 2020.


Claire Levallois-Barth, Coordinatrice de la Chaire VPIP, Maître de conférences en droit à Télécom Paris


 

1 Identités numériques coordonné par Claire Levallois-Barth en collaboration avec Armen Khatchatourov, Pierre-Antoine Chardel, Maryline Laurent, Patrick Waelbroeck, Delphine Chauvet, Nesrine Kaâniche.

2 Les identités numériques en tension. Entre autonomie et contrôle, Armen Khatchatourov, avec la collaboration de Pierre-Antoine Chardel, Andrew Feenberg et Gabriel Périès, janvier 2019. 

3 Dans ce sens, Plan d’action de la Commission européenne de décembre 2016 visant à renforcer la réponse européenne aux fraudes liées aux documents de voyage, COM(2016) 790 final, pp. 2-3. 

4 Règlement (UE) 2019/817 du Parlement européen et du Conseil du 20 mai 2019 portant établissement d'un cadre pour l'interopérabilité des systèmes d'information de l'UE dans le domaine des frontières et des visas et modifiant les règlements (CE) 767/2008, (UE) 2016/399, (UE) 2017/2226, (UE) 2018/1240, (UE) 2018/1726 et (UE) 2018/1861 du Parlement européen et du Conseil et les décisions 2004/512/CE et 2008/633/JAI du Conseil, JOUE L135/27 du 22 mai 2019. 

6 Dont l’objet est de déterminer l’État membre qui, en vertu de la convention de Dublin, est responsable de l’examen d’une demande d’asile ou de protection subsidiaire. Fin 2014, 2,7 millions de personnes étaient recensées dans les fiches du traitement EURODAC. 3,6 millions de demandes de visa étaient reçues par la France en 2015 et 3,3 millions de visas délivrés ; on comptait 70 millions de signalements en 2015 dans la base de signalements C-SIS II. La CNIL fournit des informations sur ce traitement de données personnelles, disponibles aux liens suivants (dernière consultation le 08 janvier 2019) :

https://www.cnil.fr/fr/systeme-dinformation-eurodac

https://www.cnil.fr/fr/sis-ii-systeme-dinformation-schengen-ii

https://www.cnil.fr/fr/systeme-dinformation-sur-les-visas-siv-visa-information-system-vis

7 Règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d'identité des citoyens de l'Union et des documents de séjour délivrés aux citoyens de l'Union et aux membres de leur famille exerçant leur droit à la libre circulation, JOEU L 188/67 du 12 juillet 2019 (Règlement Cartes d’identité).

9 Art. 3 point 9 et 10 du règlement Cartes d’identité, précité.

10 Règlement (UE) 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, JOUE L 257/73 du 28 août 2014 (Règlement eIDAS).

11 Art. 49 Réexamen du règlement eIDAS, précité.

13 Lettre de mission de Valérie Peneau signée le 5 janvier 2018 par le ministre de l’Intérieur, Gérard Collomb, la Garde des Sceaux, Nicole Belloubet, et le secrétaire d’État au Numérique, Mounir Mahjoubi.

17 Dans ce sens, voir art. L 102-I du code des postes et communications électroniques : « I. - L'identification électronique est un processus consistant à utiliser des données d'identification personnelle sous une forme électronique représentant de manière univoque une personne physique ou morale, ou une personne physique représentant une personne morale. Un moyen d'identification électronique est un élément matériel ou immatériel contenant des données d'identification personnelle et utilisé pour s'authentifier pour un service en ligne ».

18 Paul Ricoeur, Soi-même comme un autre, 1990, éd. Seuil, p. 142.

19 CEDH, Gaskin c. Royaume-Uni, arrêt du 7 juillet 1989, série A no 160, p. 16, § 39.

20 Voir par exemple CEDH, 7 févr. 2002, Mikulic c. Croatie : JCP G 2002, I, 157, n° 13, chron. F. Sudre.

21 Groupe de travail « Article 29 » sur la protection des données, Avis 5/2009 sur les réseaux sociaux en ligne adopté le 12 juin 2009, WP 163, p. 12.

22 Deuxième enquête Chaire VPIP-Médiamétrie – Mai 2019, Données personnelles et confiance : évolution des perceptions et des usages post-RGPD

25 L’article 4-14 du RGPD définit les données biométriques comme « les données à caractère personnel résultant d'un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d'une personne physique, qui permettent ou confirment son identification unique, telles que des images faciales ou des données dactyloscopiques ». L’article 9-1 interdit en principe le traitement de telles données tandis que l’article 9-2 fixe les possibles dérogations à cette interdiction.

28 ALICEM s’inscrit dans l’objectif du gouvernement français de permettre un accès en ligne à la totalité des services publics d’ici 2022. A partir d’un transfert des données enregistrées dans le composant électronique des passeports ou des titres de séjour (à l’exception de l’image numérisée des empreintes digitales), le dispositif vise à permettre une identification et une authentification pour l’accès à des services dont les fournisseurs sont liés par convention à France Connect.

36 Voir l’article 10-3 du règlement Cartes d’identité selon lequel « Sauf s'ils sont nécessaires aux finalités du traitement dans le respect du droit de l'Union et du droit national, les éléments d'identification biométriques stockés aux fins de la personnalisation des cartes d'identité ou des documents de séjour sont conservés de manière très sécurisée et uniquement jusqu'à la date de remise du document et, en tout état de cause, pas plus de 90 jours à compter de la date de délivrance du document. Après ce délai, ces éléments d'identification biométriques sont immédiatement effacés ou détruits ».

Commentaires Clos.