Close
  • Français
  • English

ALICEM validée par le Conseil d’Etat

07/12/2020

(Conseil d’Etat, 10ème et 9ème chambres réunies, arrêt du 4 novembre 2020, La Quadrature du Net/ Etat)

L’application Alicem répond aux exigences du RGPD relatives au traitement de données biométriques, au consentement, au caractère pertinent, adéquat et non excessif de leur collecte.

Le décret n° 2019-452 du 13 mai 2019 autorise la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifiée sur mobile » (ALICEM). La Quadrature du Net demande au Conseil d’Etat de l’annuler pour excès de pouvoir. Elle demande également, à titre subsidiaire, de poser à la CJUE des questions préjudicielles. La première est relative à l’appréciation de la validité du consentement et demande s’il doit être recueilli au niveau de chaque service faisant l’objet d’un traitement de données personnelles, indépendamment de l’existence d’un autre service « équivalent » ou au niveau de l’ensemble des « services équivalents ». La seconde porte sur le caractère adéquat, pertinent et non excessif, de la collecte et du traitement des données biométriques, au regard des finalités pour lesquelles elles sont collectées et traitées, par une application mobile recourant à une technologie de reconnaissance faciale à des fins d’authentification auprès de certains services publics et de leurs partenaires.

 

« Alicem », la protection du consentement « by design »

Alicem a pour finalité de proposer, aux ressortissants français titulaires d’un passeport biométrique et aux ressortissants étrangers titulaires d’un titre de séjour biométrique, la délivrance d’un moyen d’identification électronique leur permettant de s’identifier électroniquement et de s’authentifier auprès d’organismes publics ou privés. Cette procédure s’opère au moyen d’un équipement terminal de communications électroniques doté d’un dispositif permettant la lecture sans contact du composant électronique de ces titres, en respectant les dispositions prévues par le règlement du Parlement européen et du Conseil du 23 juillet 2014[1], notamment les exigences relatives au niveau de garantie requis par le téléservice concerné. Le traitement utilise un système de reconnaissance faciale statique et de reconnaissance faciale dynamique. Les données collectées par ce système de reconnaissance faciale le sont à cette seule fin et sont effacées sitôt ces reconnaissances terminées. L’Agence nationale des titres sécurisés procède, au moment de la demande d’ouverture du compte, à l’information de l’usager concernant l’utilisation d’un dispositif de reconnaissance faciale et au recueil de son consentement au traitement de ses données biométriques. L’usager enregistre alors une courte vidéo à partir de laquelle un algorithme de reconnaissance faciale vérifie qu’il est le titulaire légitime du titre biométrique sur lequel l’identité numérique est fondée, tandis qu’un algorithme de reconnaissance du vivant analyse les actions effectuées sur la vidéo pour détecter toute tentative d’attaque informatique ou de tromperie. Les identifiants électroniques, associés à son compte, permettent au titulaire d’un passeport ou d’une carte de séjour biométrique de s’identifier en ligne auprès d’organismes publics ou privés partenaires et d’accéder à leurs téléservices et de bénéficier d’une protection renforcée contre l’utilisation abusive ou l’usurpation de son identité dans le cadre de ses démarches en ligne.

 

Le rejet de la requête par le Conseil d’Etat

Le Conseil d’Etat écarte d’emblée les griefs relatifs à la légalité externe du décret – qui a respecté les règles imposées quant à l’identité du texte par rapport au projet de règlement qui lui a été soumis pour avis par le gouvernement – et au contreseing des ministres concernés.

Sur la légalité interne, la première question porte sur la légalité du traitement de données biométriques. Le Conseil d’Etat rappelle l’interdiction de principe posée par l’article 8 de la loi du 6 janvier 1978, relative au traitement des données biométriques aux fins d’identifier une personne physique de manière unique. Mais cette interdiction n’est pas absolue, car le RGPD (art.9) permet de déroger au principe si la personne concernée a donné son consentement explicite au traitement de ces données à caractère personnel pour une ou plusieurs finalités spécifiques, notamment lorsque « le traitement est nécessaire pour des motifs d’intérêt public important, sur la base du droit de l’Union ou du droit d’un État membre, proportionné à l’objectif poursuivi et respecte l’essence du droit à la protection des données et prévoit des mesures appropriées et spécifiques pour la sauvegarde des droits fondamentaux et des intérêts de la personne concernée ».

Sur la finalité du traitement, la Conseil d’Etat constate qu’il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait à la date du décret attaqué d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Il s’ensuit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement. S’agissant du caractère adéquat et proportionné de la collecte de données, le Conseil d’Etat observe que celle-ci est opérée pour l’identification de l’usager, celle du titre biométrique, de l’équipement terminal de communications électroniques qu’il utilise et, enfin, pour établir l’historique des transactions associées à son compte (informations ne pouvant être communiquées aux fournisseurs de téléservices) et répond donc aux exigences.

La question de la liberté du consentement est également examinée. Le citoyen n’est pas contraint, selon le juge administratif, car les téléservices accessibles via l’application Alicem l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. L’usager qui ne recoure pas à Alicem n’est pas privé d’accès aux télétraitements offerts par ces services et ne saurai dès lors être regardé comme subissant un préjudice au sens du RGPD.

Pour toutes ces raisons, le Conseil d’Etat rejette la requête de la Quadrature du Net et ne transmet pas à la CJUE les questions préjudicielles. Cette décision enrichit la jurisprudence relative à l’application du RGPD.

[1] Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur.