Link list
Un décret du gouvernement a officialisé le développement d’une application mobile d’authentification d’identité. Baptisée «AliceM», elle fait appel à un dispositif de reconnaissance faciale. Certaines associations s’inquiètent.
Tous les jours ou presque, des articles sont publiés sur les abus liés à la reconnaissance faciale. Aux États-Unis, elle aide la police à surveiller la frontière mexicaine alors qu’en Chine, elle permet au pouvoir en place de surveiller sa population. En France, le gouvernement souhaite se servir de cette technologie via une application mobile pour authentifier l’identité des citoyens. L’utilisation d’un tel dispositif, très décrié, provoque déjà des levées de boucliers.
● Qu’est-ce que l’AliceM?
AliceM est une application mobile, pour le moment uniquement disponible sur Android. Acronyme d’«Authentification en ligne certifiée sur mobile», elle est actuellement en phase de test. Bientôt, elle permettra de s’identifier grâce à son smartphone pour accéder depuis son mobile aux sites de certains services publics regroupés dans le portail d’accès FranceConnect comme celui des impôts ou celui de l’Assurance maladie.
Cela fait plusieurs années que le ministère de l’Intérieur, à l’origine du projet, travaille sur AliceM et d’autres produits similaires, sans grand succès. En 2012, la création d’une base de données biométriques avec l’appui de l’Agence nationale des titres sécurisés (ANTS) avait été avortée par le Conseil Constitutionnel qui avait jugé le projet anticonstitutionnel. En septembre 2017, l’actuel locataire de la place Beauvau, Christophe Castaner, évoquait dans une feuille de route sa volonté de «se positionner comme maître d’œuvre de l’élaboration de solutions d’identité numérique», note Le Monde. Le ministre a par ailleurs fait savoir cette année qu’il souhaitait que tous les Français puissent prouver leur identité en ligne d’ici 2020, notamment par AliceM qu’il qualifie dans un rapport sur la cybermenace d’«un des prémices d’une politique publique de l’identité numérique». AliceM a finalement été mis en place via un décret publié le 13 mai dernier. Son principe est simple: elle demande à ses utilisateurs de prouver leur identité en prenant en photo leur passeport ou titre de séjour biométrique mais aussi, via un «système de reconnaissance faciale statique (via une photo) et dynamique (via une vidéo où il faut faire des gestes et des mouvements de tête)».
● Pourquoi ce projet inquiète certaines associations?
Le 15 juillet dernier, ce décret publié le 13 mai dernier a été contesté par une association de défense des libertés numériques, La Quadrature du Net. Cette dernière a déposé un recours au Conseil d’État pour le faire annuler. Elle s’insurge contre le fait que l’utilisateur n’ait pas la liberté de choisir de passer outre le dispositif de reconnaissance faciale pour avoir accès à plusieurs services publics dématérialisés via AliceM. L’association reproche à l’État de ne pas respecter le RGPD (Règlement général sur la protection des données personnelles). Lequel stipule que quand il s’agit d’utilisation de données personnelles, «le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix». La Quadrature du Net s’appuie aussi sur un avis de la CNIL (Commission nationale de l’informatique et des libertés) rendu le 18 octobre dernier sur le projet du gouvernement. «Le gouvernement ne propose pas, en l’occurrence, d’alternative à la reconnaissance faciale pour créer une identité numérique (...) Au regard de ces principes, le consentement ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par le RGPD» explique-t-elle.
La Commission propose de mettre en place des solutions alternatives à la reconnaissance faciale pour garantir un consentement libre comme un face-à-face en préfecture ou un appel vidéo avec un agent de l’ANTS. Des solutions qui n’ont pas été retenues par le gouvernement dans son décret. «Le plus inquiétant dans cette procédure, c’est que nous constatons une perte de pouvoir de la CNIL. Si même le gouvernement ne l’écoute plus, qui va le faire?» s’interroge Martin Drago, juriste au sein de la Quadrature du Net, contacté par Le Figaro. «Proposer des alternatives, c’est le minimum» explique-t-il. L’expert regrette l’absence de prise de conscience de l’opinion et des pouvoirs publics sur le sujet de la reconnaissance faciale alors que déjà plusieurs villes, notamment aux États-Unis, ont décidé de bannir cette technologie.
Les sites français ont droit à un sursis d’un an quant au recueil du consentement de leurs visiteurs à se faire traquer. Cette période transitoire offerte par la Cnil aux éditeurs fait enrager les défenseurs de la vie privée et pourrait valoir au régulateur un remontage de bretelles au niveau européen.
Marie-Laure Denis et le collège renouvelé de la Cnil n’étaient pas là pour rigoler. C’était en substance le message envoyé en avril dernier, à l’occasion de la présentation du bilan annuel de l’autorité. Google venait d’écoper d’une amende de 50 millions d’euros pour ne pas avoir respecté les principes du RGPD et le gendarme des données personnelles assurait vouloir « crédibiliser le nouveau cadre juridique ». De la pédagogie, toujours, mais surtout des contrôles et des sanctions renforcées.
Et pourtant, le plan d’action de la Cnil en ce qui concerne le ciblage publicitaire ne va pas dans ce sens. Depuis l’entrée en vigueur du RGPD, le régulateur s’est toujours refusé à offrir une « période de grâce »… jusqu’à aujourd’hui. Le programme de la Cnil consiste à réviser sa recommandation relative aux cookies, en date de 2013, afin de l’adapter au nouveau cadre juridique. Sur le papier, l’harmonisation de ces lignes directrices avec le droit européen, in fine un rappel des « règles de droit applicables », est sensée.
Echec au droit (européen)
Mais la décision d’offrir une période transitoire d’un an fait hausser plus d’un sourcil. A commencer par ceux de la Quadrature du Net. Sur son site, la Cnil explique que, « durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ». Soit l’application d'une règle antérieure à l’entrée en vigueur du RGPD.
Ce qui va en outre à l’encontre des lignes directrices du Comité Européen de la Protection des Données, dont la Cnil est co-rédactrice. « Il n’existe aucune possibilité laissée à la CNIL pour repousser jusqu’à juillet 2020 l’application du RGPD » dénonce la Quadrature dans un communiqué. « La décision que la CNIL s’apprête à prendre violerait de plein front le droit européen et justifierait un recours en manquement contre la France par la Commission européenne ».
Open bar sur les cookies jusqu’en juillet 2020
Certes, la Cnil affirme qu’elle « continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement ». Mais cette « période de grâce » courant jusqu’en juillet 2020 implique que le seul fait de faire défiler la page après un bandeau d’information sur le dépôt de cookies vaut consentement de l’internaute (attention donc à vos molettes de souris, un consentement involontaire est si vite arrivé).
L’association assure que cette décision est le résultat de négociations entre la Cnil et le GESTE, syndicat d’éditeurs de contenus en ligne). « Aujourd’hui, la CNIL semble vouloir appliquer un droit différent entre Google et les médias français qui, eux, pourraient se contenter d’un consentement « implicite », violant tranquillement nos libertés fondamentales dans la poursuite de profits publicitaires intolérables » écrit la Quadrature, qui n’exclut pas de former un recours devant le Conseil d’Etat.
Un an après l’entrée en vigueur du règlement européen RGPD sur la vie privée, de très nombreux sites ont recours à un service de cette société, pourtant peu connue pour recueillir votre consentement.
Par Damien Leloup Publié le 25 mai 2019 à 14h00
C’est un sigle qui a pris beaucoup d’importance il y a un an, le 25 mai 2018, lorsque le règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur. CMP, pour Consent Management Platform (« plate-forme de gestion du consentement »). Comme Monsieur Jourdain la prose, quasiment tous les internautes en utilisent quotidiennement sans le savoir : ce sont les services qui affichent les messages désormais bien connus vous demandant d’accepter que vos données soient utilisées pour, selon les cas, « vous proposer une expérience personnalisée », « analyser le trafic », ou « personnaliser les publicités ».
Notre enquête : Que s’est-il passé en un an de RGPD, la loi censée protéger vos données ?
Si la quasi-totalité des sites Web se sont mis à afficher des messages de ce type il y a un an, c’est parce que le RGPD a fortement renforcé la manière dont les sites Internet doivent recueillir le consentement de leurs visiteurs, avant de pouvoir enregistrer ou utiliser des données sur leur navigation. Tous les sites commerciaux « pistent » leurs visiteurs, au mieux pour savoir quelles pages sont les plus visitées, au pire pour suivre de manière très détaillée la navigation des internautes et afficher des publicités ciblées. Le RGPD impose, dans tous les pays européens, de recueillir le consentement des internautes avant de commencer à les pister.
Or, même si la mise en place du RGPD était prévue depuis des années, de très nombreuses entreprises ont été prises de court par son entrée en vigueur ; d’autres ne disposaient pas des outils ou des compétences techniques pour gérer ce « recueil du consentement ». De très nombreux sites ont donc préféré avoir recours à une solution « clés en main », proposée par des sociétés comme Quantcast, qui offrait aux éditeurs de site, avec Quantcast Choice, un outil gratuit, simple d’utilisation et conforme à la réglementation. Les sites américains, souvent pris de court, ont massivement opté pour ces solutions toutes prêtes.
Fenêtre très reconnaissable
Et l’outil de Quantcast a été un succès : installé selon l’entreprise sur plus de 26 000 sites, il devance largement ses concurrents, et l’entreprise a annoncé cette semaine la sortie d’une version « premium » payante. Sa fenêtre très reconnaissable, avec son bouton en général bleu, et parfois son menu permettant de sélectionner les données dont la collecte est autorisée (au choix de l’administrateur du site), accueille les visiteurs sur de très nombreuses pages Web.
Sauf que Quantcast, comme la plupart de ses concurrents dans ce domaine, n’est pas une entreprise spécialisée dans la vie privée, mais… dans la publicité. Fondée en 2006 aux Etats-Unis, la société s’est fortement développée ces dix dernières années, et a ouvert des bureaux dans une dizaine de pays, dont la France. Les outils qu’elle propose sont utilisés sur « plus de 100 millions de [sites et applications] Web et mobiles », selon Quantcast. Jusqu’à l’an dernier, ses deux principaux produits étaient Quantcast Measure, un outil de suivi de la fréquentation, et Quantcast Advertise, une « place de marché » publicitaire qui collecte et utilise de très importants volumes de données sur les internautes ; son service Choice ne collecte, lui, que les données de consentement de l’utilisateur, qui ne sont pas utilisées à des fins publicitaires, explique l’entreprise sur son site.
Enquête du régulateur irlandais
En revanche, son outil publicitaire a été épinglé, il y a six mois, par l’ONG Privacy International, qui listait Quantcast parmi les sept entreprises « dont vous n’avez jamais entendu parler, mais à propos desquelles nous avons saisi les régulateurs ». « Le RGPD fixe des limites claires à l’utilisation des données personnelles, et pourtant les pratiques de ces entreprises ne respectent pas les standards fixés. Nos documents démontrent l’ampleur et le caractère systématique de ces violations des lois protégeant la vie privée », affirmait à l’époque l’association.
Dans le cas de Quantcast, le régulateur irlandais de la vie privée a jugé les éléments fournis par Privacy International suffisamment solides pour ouvrir une enquête formelle le 2 mai. « L’enquête devra établir si la compilation et l’analyse de données personnelles, en vue de la création de profils destinés à l’affichage de publicités ciblées, sont en conformité avec le RGPD », écrit le régulateur. « Le respect des principes établis par le RGPD sur la conservation des données et la transparence seront également examinés ». Quantcast avait à l’époque affirmé qu’elle « coopérera[it] totalement avec l’enquête ».
Damien Leloup
L'Inria propose une nouvelle version de sa formation en ligne gratuite à la protection des données personnelles dans le monde numérique.
A une époque où le numérique a envahi tous les pans de notre société, et où les scandales relatifs aux abus sur les données personnelles se multiplient, il est essentiel de bien comprendre l'importance des informations que l'on partage via Internet et, surtout, de savoir les protéger si l'on tient à préserver un tant soit peu sa vie privée. C'est précisément dans ce but que l’Institut national de recherche en informatique et en automatique (Inria) a élaboré l'an dernier un cours en ligne gratuit ouvert à tous (un Mooc, pour Massive Open Online Course). Lancé en février 2018, ce Mooc revient aujourd'hui dans une nouvelle édition avec des mises à jour et de nouveaux modules.
Accessible à tous, sans pré-requis, cette formation s'adresse à tous ceux qui souhaitent comprendre les enjeux de la protection de la vie privée sur Internet et maîtriser les outils numériques sur le plan des données personnelles. Réalisé par des enseignants-chercheurs de l'Inria, il se compose de six modules thématiques aux intitulés clairs, qui couvrent les différents aspects du sujet : Données personnelles et législation ; Protéger ses données et son identité numérique ; Smartphones et vie privée ; Protéger ses emails ; Navigation et traçage sur le Web ; et Consommation et vie privée.
Attention : si le cours est diffusé en vidéo, avec une approche résolument pédagogique, il réclame un véritable investissement personnel. Il faut en effet compter une quinzaine d'heures pour le visionnage complet et environ deux heures de travail par semaine pour en tirer réellement parti. Rien à voir donc avec un simple tuto publié sur YouTube. Mais le jeu en vaut clairement la chandelle car, si les experts n'apprendront sans doute pas grand chose, il permet de prendre conscience des mécanismes mis en place par les acteurs du numérique pour récolter des données personnelles et d'apprendre à contrôler les informations partagées, aussi bien sur ordinateur que sur smartphone, sur le Web, sur les réseaux sociaux et dans des applications. Et si le rythme est libre, il convient de ne pas trop traîner pour suivre cette formation ô combien utile, le cours n'étant en ligne que jusqu'au 30 juillet 2019.
Bienvenue sur le MOOC de la CNIL
Vous y trouverez l’ensemble des informations pour vous initier au RGPD et débuter ainsi la mise en conformité de votre organisme.
Ce dispositif gratuit est accessible jusqu’au mois de septembre 2021.
En suivant l’intégralité de ce MOOC, vous pourrez obtenir une attestation.