La difficile mise en place d’identités numériques de confiance en Europe

Au niveau européen, la thématique de l’identité numérique s’inscrit dans la lutte contre la fraude documentaire et l’usurpation d’identité. Plusieurs règlements récents visent ainsi à faciliter les démarches de contrôle, en se basant sur l’uniformisation de la collecte et du stockage des données biométriques et numériques des citoyens. Ces changements posent des questions profondes sur la notion même d’identité numérique au sens du droit. Dans cette tribune initialement publiée sur le site de la Chaire Valeurs et politiques des informations personnelles de l’IMT, Claire Levallois-Barth, chercheuse en droit à Télécom Paris, plonge dans les enjeux européens autour de l’identité numérique.

[dropcap]A[/dropcap]fin de faciliter principalement l’identification des citoyens non européens qui franchissent ou envisagent de franchir les frontières de l’Union, deux règlements européens adoptés le 20 mai 2019 établissent les conditions d’interopérabilité des systèmes d’information dans les domaines, d’une part, des frontières et des visas (Règlement 2019/817) et, d’autre part, de la coopération policière et judiciaire, l’asile et l’immigration (Règlement 2019/818). Pas moins de huit systèmes d’information sont concernés : le système d’information Schengen (SIS), le système Eurodac, le système d’information sur les visas (VIS), la base de données d’Interpol sur les documents de voyage volés et perdus (SLTD) et les données d’Europol ainsi que trois nouveaux systèmes : le système d’entrée/de sortie (EES), le système européen d’information et d’autorisation concernant les voyages (ETIAS) et le système européen d’information sur les casiers judiciaires pour les ressortissants de pays tiers (ECRIS-TCN).

Ces textes, très techniques, créent notamment un répertoire commun de données d’identité (Common Identity Repository ou CIR). Celui-ci contiendra un dossier individuel regroupant certaines des données biographiques et biométriques des personnes enregistrées dans les systèmes d’information VIS, EES et ETIAS. Le contrôle de leur application, dans le respect de nos textes fondamentaux, est placé sous la supervision des autorités nationales de contrôle (dont notamment de la CNIL) et du contrôleur européen de la protection des données.

Outre l’interopérabilité des bases de données concernant les ressortissants des pays tiers, la sécurisation des cartes d’identité des citoyens de l’Union européenne a été accrue cet été le 20 juin 2019 par l’adoption du règlement 2019/1157 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour. Les discussions, qui pourraient à termes concerner 370 millions de citoyens dans 26 États membres, ont notamment porté sur les données biométriques qu’il convenait d’enregistrer (image faciale accompagnée de l’image de deux empreintes digitales ou « simple » extrait de ces empreintes). À cet égard, le contrôleur européen a publié un avis motivé et détaillé dans lequel il estime « que la proposition ne justifie pas suffisamment la nécessité de traiter deux types de données biométriques dans ce cadre, alors que l’objectif déclaré pourrait être atteint par une approche moins intrusive ».

Concrètement, la France doit faire évoluer son modèle de carte d’identité nationale pour le 2 août 2021. Celle-ci se présentera au format « carte de crédit ». Elle devra intégrer l’image faciale et deux empreintes digitales du titulaire de la carte, stockées sur une puce « hautement sécurisée » sans contact dans un format numérique interopérable. La carte d’identité nationale pourra comprendre un composant avec une double interface ou un support séparé stockant des données nationales pour des services d’administration en ligne ou de commerce électronique. Ces données devront être physiquement ou logiquement séparées des données biométriques.

Autre maillon de la chaîne de confiance, notamment pour les transactions électroniques, le Règlement 910/2014 dit règlement eIDAS sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur doit être réexaminé par la Commission européenne au plus tard le 1^er juillet 2020. Le texte porte notamment sur la reconnaissance mutuelle entre les États membres de l’Union des moyens d’identification électronique. Il prévoit la possibilité pour les États de notifier à la Commission le(s) schéma(s) d’identification interopérable(s) utilisé(s) au niveau national. Alors que dix-huit schémas d’identification ont d’ores et déjà été notifiés par quatorze États, que l’Estonie s’est lancée dès 2002 dans le déploiement de l’identité numérique, suivie par de nombreux États comme la Belgique, l’Autriche et l’Allemagne, la France n’a notifié aucun schéma.

Notre pays réfléchit toujours aux modalités de déploiement d’un parcours d’identification numérique sécurisé utilisable aussi bien par les services publics que les acteurs privés. Plus précisément, l’objectif confié en janvier 2018 à la mission interministérielle menée par Valérie PENEAU « consiste à développer pour l’ensemble des citoyens, des étrangers en situation régulière et des entreprises, un parcours d’identification numérique fluide s’intégrant au sein de la Plateforme Numérique de l’État et de France Connect ». Ce parcours doit comprendre au moins deux niveaux, les niveaux de garantie « faible » et « élevée » du règlement eIDAS. Mais alors que l’élaboration des solutions devait être « effective pour la rentrée 2019 », les conclusions de la mission n’ont pour l’instant pas été rendues publiques.

Entre temps, le Conseil du numérique a été saisi en juillet 2019 par le secrétaire d’État chargé du numérique, Cédric O, afin de mettre en lumière les usages et l’imbrication du futur dispositif d’identité numérique avec la dématérialisation des services publiques. La présentation des consultations visant à faire émerger les recommandations est prévue ce début 2020.

De son côté, l’Assemblée nationale a lancé fin octobre 2019 une mission d’information sur l’identité numérique présidée par Marietta Karamanli, accompagnée ses collègues députées Christine Hennion et Paola Forteza. L’objectif affiché est ambitieux : « nous permettre d’assurer que les choix technologiques, l’encadrement juridique, la gouvernance et le modèle économique de l’identité numérique en France ouvriront la voie au développement d’une citoyenneté numérique basée sur la confiance ».

Parmi les nombreuses questions abordées portant à la fois sur les opportunités économiques permises par le développement de nouvelles solutions d’identités numériques dans lesquelles les citoyens puissent avoir confiance, la simplification des usages, l’inclusion et les risques de discrimination, les interactions entre les pouvoirs publics et le secteur privé, le contrôle par l’utilisateur de son identité et de ses données, on retiendra plus particulièrement celle portant sur la définition même de l’identité numérique. À cet égard, les auditions font ressortir la difficulté à cerner cette notion, qui est en cours de construction, donc en l’état, dynamique.

La notion d’identité numérique, une notion polysémique

L’identité numérique peut notamment être définie par référence à un titre électronique d’identité (un passeport, une carte d’identité doté d’une puce), à une preuve d’identité en ligne ou à un moyen d’identification électronique permettant à un individu de prouver qu’il est bien le titulaire habilité à accéder à certains services en ligne. De façon classique, l’identité numérique peut être envisagée comme le prolongement de l’état civil dans l’espace numérique, un regard extérieur qui considère la personne comme une somme de caractéristiques stables afin de l’identifier, de l’individualiser sans équivoque dans la continuité. À ce propos, Paul Ricœur, dans son ouvrage Soi-même comme un autre, souligne la « continuité ininterrompue entre le premier et le dernier stade du développement de ce que nous tenons pour le même individu… : ainsi disons-nous du chêne qu’il est le même, du gland à l’arbre entièrement développé ».

L’identité numérique peut également être entendue dans un sens plus large, du point de vue de la personne, de la façon dont elle entend se présenter aux autres : il s’agit ici de l’identité qu’elle se donne, qu’elle se choisit, comme projection active, contribuant donc à son autodétermination. Rappelons que la Cour Européenne des Droits de l’Homme (CEDH) a jugé que « le respect de la vie privée exige que chacun puisse établir les détails de son identité d’être humain et que le droit d’un individu à de telles informations est essentiel du fait de leurs incidences sur la formation de la personnalité ». Ainsi, la Cour consacre un « droit à l’identité » protégé par l’article 8 de la Convention européenne des droits de l’homme. L’utilisation d’un réseau social est en la parfaite illustration : de sa propre initiative, la personne choisit la manière dont elle entend s’identifier, donne à voir des éléments de son identité vécue : ses centres d’intérêts, ses photos, ses relations avec ses « amis », ses opinions… C’est ce que souligne le G29 dans son avis sur les réseaux sociaux. Ainsi les autorités de contrôles nationales estiment que ces derniers « devraient donc pouvoir justifier le fait de contraindre leurs utilisateurs à agir sous leur véritable identité plutôt que sous un pseudonyme ».

Et nous avons pu démontrer, à travers le sondage que la Chaire Valeurs et Politiques des Informations Personnelles a réalisé en mai 2019, que les utilisateurs adoptent de véritables stratégies pour se présenter comme ils l’entendent : 75% des répondants possèdent plusieurs adresses électroniques et 60% utilisent plusieurs pseudonymes tandis que 31% recourent à, au moins, une fausse identité.

Cependant, nous devons reconnaître que la multiplication des identifiants et des mots de passe (93% des répondants utilisent plusieurs mots de passe, soit une augmentation de 4 points par rapport à notre précédent sondage réalisé en mars 2017) présente une certaine complexité, un faible niveau de sécurité et un risque d’utilisation des données personnelles par des tiers mal intentionnés.

Or, la conception même de la notion d’identité numérique conditionne la délimitation de son périmètre, et donc le champ d’intervention du législateur. Faut-il reconnaître le principe d’un droit à l’anonymat dans l’espace public ? D’un droit au pseudonymat ? Dans quels cas imposer l’utilisation du « vrai » nom ?

Les enjeux soulevés au regard du RGPD

L’application même du Règlement Général 2016/679 sur la Protection des Données personnelles (RGPD) se trouve ici questionnée. Convient-il d’adopter des dispositions particulières pour encadrer l’utilisation des données biométriques, données classées comme « sensibles » depuis l’adoption du RGPD ? À l’instar de San Francisco ou de Seattle, faut-il interdire l’utilisation de certaines technologies d’identification dans l’espace public ? Dans quels cas d’usage ? De quelles finalités et de quel niveau d’identification doit-il alors être question ?

À cet égard, la CNIL a estimé en séance plénière le 17 octobre 2019 que des expérimentations portant sur un « portique virtuel » de contrôle d’accès par reconnaissance faciale à l’entrée de deux lycées à Nice et Marseille étaient contraires aux grands principes de proportionnalité et de minimisation des données posés par le RGPD. Les finalités de prévention des intrusions et d’usurpation d’identité ainsi que l’objectif de réduction de la durée des contrôles concernant des élèves, pour la plupart mineurs, peuvent selon la Commission être atteintes par des moyens beaucoup moins intrusifs, par exemple un contrôle par badge.

La question de la biométrie sous l’angle du consentement s’est également invitée dans le débat sur l’identité numérique mobile à propos de l’application ALICEM développée par le ministère de l’intérieur. La solution prévoit en effet que pour activer son compte, la personne prouve qu’elle est bien celle qu’elle prétend être afin d’atteindre le niveau de garantie « élevée » de l’identité numérique au sens du règlement eIDAS. À cette fin, elle doit impérativement se filmer en réalisant plusieurs « défis » comme cligner des yeux, bouger la tête et le visage. La vidéo permet ensuite à l’Agence des Titres Sécurisés (ANTS) de vérifier qu’il s’agit bien de la personne en possession du téléphone (reconnaissance faciale dynamique) et d’extraire une photographie qui est comparée avec la photographie figurant dans son passeport ou son titre de séjour électronique (reconnaissance faciale statique).

Dans une délibération du 18 octobre 2018, la CNIL a pointé l’incompatibilité d’ALICEM au regard du RGPD. Le principal argument porte sur le caractère obligatoire de la reconnaissance faciale. La Commission rappelle que, conformément à la position retenue par le groupe de travail de l’article 29 (G29) et reprise par le Comité européen de protection des données, « dans l’hypothèse où la fourniture d’un service est subordonnée au consentement au traitement des données personnelles, ce consentement n’est libre que si le traitement de données est strictement nécessaire à la fourniture du service demandé par la personne, ou si une alternative est effectivement offerte par le responsable de traitement à la personne concernée … En l’espèce, le refus du traitement des données biométrique fait obstacle à l’activation du compte, et prive de portée le consentement initial de l’activation du compte ».

Si le décret n° 2019-452 autorisant la création d’ALICEM a été publié le 13 mai 2019 malgré l’avis de la CNIL, une ouverture, disponible à ce stade uniquement sur téléphone Android doté d’un système sans contact NFC, a été évoquée pour novembre 2019, date reportée ultérieurement à mi-2021. Outre, semble-t-il, un débat sur l’origine de la technologie mise en oeuvre, un recours en annulation du décret n° 2019-452 au Conseil d’État a été déposé par l’association La Quadrature du Net le 15 juillet 2019. La Quadrature émet les mêmes inquiétudes que la CNIL à propos du non-respect de la notion de « consentement libre et non imposé », doublée de la crainte qu’ALICEM menace à terme l’anonymat en ligne.

Vers un possible changement de paradigme de la surveillance

Au-delà de ces expérimentations ponctuelles, la CNIL a lancé un appel à un « débat à la hauteur des enjeux » le 15 novembre 2019. Comme le souligne la Commission, « le remplacement des contrôles humains de vérification de l’identité des personnes par des contrôles réalisés par des traitements algorithmiques, modifie, par lui-même, le potentiel de surveillance ». Le risque est alors grand que des glissements progressifs conduisent à un changement de paradigme de la surveillance : « le passage d’une surveillance ciblée de certains individus à la possibilité d’une surveillance de tous aux fins d’en identifier certains ».

Ce possible changement de paradigme est également débattu au niveau européen.

Certains défenseurs de la vie privée, comme Statewatch, perçoivent la mise en place de l’interopérabilité des bases de données concernent les citoyens non européens comme le « point de non-retour » d’une politique de fichage destinée à se généraliser. Selon l’organisation non gouvernementale, le risque porte désormais sur la généralisation des cartes nationales d’identité biométriques et le versement des données qu’elles contiennent dans une future base de données biométriques centrale, ce qui permettrait un suivi sans précédent de 440 millions de citoyens de l’UE. Précisons que pour l’heure le règlement Cartes d’identité ne prévoit pas la création d’une telle base centralisée.

Le Contrôleur européen à la protection des données souligne lui aussi dans son avis sur les propositions de deux règlements portant établissement d’un cadre pour l’interopérabilité des systèmes d’information à grande échelle de l’UE la possibilité d’un point de non-retour, précisant : « la décision du législateur de l’UE de rendre les systèmes informatiques à grande échelle interopérables aurait non seulement une incidence profonde et durable sur leur structure et leur mode de fonctionnement, mais modifierait également la façon dont les principes juridiques ont été interprétés dans ce domaine jusqu’à présent, marquant ainsi un «point de non-retour ». Il souligne également que « l’interopérabilité n’est pas seulement ou principalement un choix technique, mais plutôt un choix politique susceptible d’avoir des conséquences juridiques et sociétales profondes».

Se trouve ainsi questionné l’exercice même de nos droits et libertés fondamentaux : notamment notre liberté de circulation, notre droit au respect de la vie privée, à la protection de nos données personnelles.

Dès lors, comment concilier nos valeurs européennes avec des impératifs de sécurité et d’instauration d’un climat de confiance dans l’environnement numérique ? Selon quels critères déterminer les cas où il est nécessaire d’établir l’identité d’une personne sans que subsiste le moindre doute ? Les situations dans lesquelles le citoyen doit lui-même choisir les éléments de son identité vécue ? Comment traduire cette nécessité dans des systèmes techniques dans lesquels nous pourrions accorder notre confiance ?

[box type= »shadow » align= » » class= » » width= » »]Les conférences de la chaire VPIP

Afin de tenter de répondre collectivement à ces questions en connaissance de cause, et dans la suite logique de nos travaux menés depuis avril 2013 sur ces sujets, la chaire Valeurs et politiques des informations personnelles vous invite à participer à son prochain cycle de conférences sur les Identités numériques de confiance.

• « Le règlement (UE) eIDAS, déclinaison française et perspectives », le jeudi 2 avril 2020 de 14h à 16h30 dans les locaux de Sopra Stéria ;
• « Identités numériques, données biométriques et reconnaissance faciale », le jeudi 11 juin 2020 de 14h à 16h30 dans les locaux de Orange Garden ;
• « Les différentes facettes des identités numériques », en septembre 2020.[/box]