Alicem, application mobile développée par le ministère de l'intérieur doit permettre de se connecter aux services publics en ligne en s’assurant de l’identité de chaque personne en utilisant la reconnaissance facile pose de nombreuses questions en ce qui concerne la vie privée. Explications par Merav Griguer, Associée Bird & Bird, et Sharone Franco, Avocate Bird & Bird.
Le déploiement prochain d’Alicem, basée sur la reconnaissance faciale, suscite des inquiétudes, sont-elles fondées ?
Le projet ALICEM implique effectivement l’utilisation de la reconnaissance faciale. Cette technologie, tant par son caractère innovant que potentiellement intrusif pour la vie privée des personnes soulève en effet de nombreux débats. On touche ici à la question du traitement de données biométriques et il est donc compréhensible que ceci pose des questions.
Il existe toujours des risques engendrés par le traitement massif de données à caractère personnel. Les questions qui devront se poser sont celles de la proportionnalité du traitement et des garanties qui y seront apportées, notamment en termes de sécurité.
La Commission nationale de l’informatique et des libertés (CNIL) a émises de fortes réserves sur Alicem, qu'en pensez-vous ?
Lorsqu’elle a eu à se prononcer sur le projet ALICEM, la CNIL a soulevé la potentielle invalidité du consentement des utilisateurs à l’utilisation de leurs données à caractère personnel. Selon elle, le projet de décret tel qu’il prévoyait le fonctionnement de l’outil, n’offrait pas d’alternative à l’utilisation de la reconnaissance faciale. En quelque sorte on imposerait à l’utilisateur le traitement de ses données biométriques en conditionnant son accès à l’application par son acceptation de la reconnaissance faciale comme moyen d’authenfication.
Selon le cadre juridique de la protection des données personnelles, et notamment le RGPD, pour être valide le consentement doit être libre, spécifique, éclairé et univoque. A cet égard, l’existence d’une alternative équivalente au traitement est un indice permettant d’apprécier si la personne qui a donné son consentement avait réellement un choix et si, ce consentement était réellement libre.
Peut-on craindre des utilisations détournées ou fuites de données biométriques ?
Dès lors qu’un traitement de données à caractère personnel est mis en œuvre il existe nécessairement des risques, d’une part cyber sécuritaires mais également de détournement de finalité, c’est à dire que les données soient utilisées à d’autres fins que celles pour lesquelles elles ont été collectées. Ces risques sont naturellement amplifiés lorsqu’on touche à des données sensibles, comme c’est le cas en l’espèce.
La sécurité est donc un enjeu primordial et ce d’autant plus que ce dispositif s’adresse à l’ensemble des porteurs de passeports biométriques français.
Quelles peuvent-être les conséquences juridiques ?
Les manquements aux obligations de sécurisation et de conformité des traitements de données à caractère personnel impliquent des risques juridiques importants. Le RGPD prévoit des sanctions administratives élevées qui pourront être prononcées par la CNIL, notamment en cas de violation à l’obligation de sécurité des données personnelles. La collecte illicite de données, qui pourrait être engendrée par un consentement jugé invalide des personnes concernées, fait également courir le risque de sanctions.
D’autre part, le code pénal réprime les manquements aux règles en matière de protection des données ainsi que les atteintes aux systèmes permettant les traitements de données.
Propos recueillis par Arnaud Dumourier (@adumourier)
