Link list
La nouvelle application d’identité numérique lancée par le gouvernement
On assiste en France à de plus en plus d’expérimentations sur la reconnaissance faciale, les portiques biométriques dans les lycées, au carnaval de Nice, ou encore dans les aéroports… Le Ministère de l’Intérieur et l’Agence Nationale des Titres Sécurisés lance une nouvelle application sur Android : Alicem. Elle propose aux citoyens de se créer une identité numérique pour tout ce qui est procédure administrative en ligne et ce, à partir de la reconnaissance faciale. Selon les révélations de Bloomberg hier, elle sera lancée dès novembre.
La France sera donc le premier pays de l’Union Européenne à utiliser la reconnaissance faciale pour donner aux citoyens une identité numérique. Mais cela pose de nombreuses questions, notamment sur la protection des données personnelles. Nous avons tenté de joindre le Ministère de l’intérieur qui n’a pas pu répondre à nos questions. Interview avec Martin Drago, juriste à la Quadrature du net, l’association de défense des droits et libertés des citoyens sur Internet. Il engage une action en justice contre l’État
Écouter sur le site l'interview de Martin Drago.
L'association des américains accidentels a porté plainte contre la France auprès de la Commission européenne pour violation du droit de l'Union européenne. Elle accuse la législation américaine Fatca, qui oblige les banques européennes à transmettre au fisc américain les données bancaires de leurs clients nés aux États-Unis, de ne pas respecter le droit communautaire en matière de protection des données.
C'est une nouvelle étape dans le combat mené par les américains accidentels. L'Association des américains accidentels a annoncé avoir déposé, ce jeudi 3 octobre, une plainte contre la France auprès de la Commission européenne, après avoir été déboutée en juillet par le Conseil d'Etat du refus de ses membres d'être assujettis à une réglementation fiscale. Cette réglementation, le Foreign account tax compliance act (Fatca), adopté par Washington en 2010 et appliqué en France depuis 2014, permet à l'administration fiscale américaine de demander aux banques étrangères des informations sur leurs clients considérés comme des "personnes américaines".
L'association considère que l'accord intergouvernemental franco-américain du 14 novembre 2013, qui permet l'application du Fatca en France, "viole le règlement général de l'UE sur la protection des données" en autorisant le stockage et la transmission massifs aux Etats-Unis des données personnelles", selon un communiqué. Selon les "Américains accidentels", le mécanisme de transmission de données "ne tient pas compte du fait que la plupart de ces personnes n'ont aucun lien avec les États-Unis" et "ne permet pas aux personnes concernées d'accéder aux données qu'elles ont transmises ni de corriger les erreurs qui pourraient s'y glisser".
Le Conseil d'Etat avait pour sa part estimé lors d'une audience début juillet que le Fatca ne présentait pas de défaut d'exécution "avéré" mais tout au plus "des difficultés techniques de mise en oeuvre". Selon le communiqué de l'association, "la Commission européenne dispose d'un délai de 12 mois à compter du 3 octobre pour examiner l'affaire et décider s'il y a lieu d'engager une procédure formelle d'infraction contre la France." La Fédération bancaire française (FBF) avait pour sa part prévenu fin juillet que les banques françaises "pourraient être contraintes de fermer 40.000 comptes d'ici à la fin 2019 faute d'accord sur l'application d'une règlementation fiscale américaine". En refusant de transmettre les informations demandées par les autorités américaines, les banques s'exposeraient à des sanctions à hauteur de 30% de leurs flux financiers avec les Etats-Unis, avait expliqué le patron de la FBF, Laurent Mignon.
En 2017, les Etats-Unis avaient accepté un moratoire valide jusqu'à la fin décembre 2019, stipulant qu'il n'y aurait pas infraction si, faute d'un identifiant fiscal, les banques fournissaient la date de naissance des clients concernés et leur demandaient chaque année des identifiants fiscaux. Mais cette dérogation prendra fin au 1er janvier 2020, "y compris pour les comptes ouverts avant cette date", selon la FBF. Il y a donc urgence à trouver une solution.
Un décret du gouvernement a officialisé le développement d’une application mobile d’authentification d’identité. Baptisée «AliceM», elle fait appel à un dispositif de reconnaissance faciale. Certaines associations s’inquiètent.
Tous les jours ou presque, des articles sont publiés sur les abus liés à la reconnaissance faciale. Aux États-Unis, elle aide la police à surveiller la frontière mexicaine alors qu’en Chine, elle permet au pouvoir en place de surveiller sa population. En France, le gouvernement souhaite se servir de cette technologie via une application mobile pour authentifier l’identité des citoyens. L’utilisation d’un tel dispositif, très décrié, provoque déjà des levées de boucliers.
● Qu’est-ce que l’AliceM?
AliceM est une application mobile, pour le moment uniquement disponible sur Android. Acronyme d’«Authentification en ligne certifiée sur mobile», elle est actuellement en phase de test. Bientôt, elle permettra de s’identifier grâce à son smartphone pour accéder depuis son mobile aux sites de certains services publics regroupés dans le portail d’accès FranceConnect comme celui des impôts ou celui de l’Assurance maladie.
Cela fait plusieurs années que le ministère de l’Intérieur, à l’origine du projet, travaille sur AliceM et d’autres produits similaires, sans grand succès. En 2012, la création d’une base de données biométriques avec l’appui de l’Agence nationale des titres sécurisés (ANTS) avait été avortée par le Conseil Constitutionnel qui avait jugé le projet anticonstitutionnel. En septembre 2017, l’actuel locataire de la place Beauvau, Christophe Castaner, évoquait dans une feuille de route sa volonté de «se positionner comme maître d’œuvre de l’élaboration de solutions d’identité numérique», note Le Monde. Le ministre a par ailleurs fait savoir cette année qu’il souhaitait que tous les Français puissent prouver leur identité en ligne d’ici 2020, notamment par AliceM qu’il qualifie dans un rapport sur la cybermenace d’«un des prémices d’une politique publique de l’identité numérique». AliceM a finalement été mis en place via un décret publié le 13 mai dernier. Son principe est simple: elle demande à ses utilisateurs de prouver leur identité en prenant en photo leur passeport ou titre de séjour biométrique mais aussi, via un «système de reconnaissance faciale statique (via une photo) et dynamique (via une vidéo où il faut faire des gestes et des mouvements de tête)».
● Pourquoi ce projet inquiète certaines associations?
Le 15 juillet dernier, ce décret publié le 13 mai dernier a été contesté par une association de défense des libertés numériques, La Quadrature du Net. Cette dernière a déposé un recours au Conseil d’État pour le faire annuler. Elle s’insurge contre le fait que l’utilisateur n’ait pas la liberté de choisir de passer outre le dispositif de reconnaissance faciale pour avoir accès à plusieurs services publics dématérialisés via AliceM. L’association reproche à l’État de ne pas respecter le RGPD (Règlement général sur la protection des données personnelles). Lequel stipule que quand il s’agit d’utilisation de données personnelles, «le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix». La Quadrature du Net s’appuie aussi sur un avis de la CNIL (Commission nationale de l’informatique et des libertés) rendu le 18 octobre dernier sur le projet du gouvernement. «Le gouvernement ne propose pas, en l’occurrence, d’alternative à la reconnaissance faciale pour créer une identité numérique (...) Au regard de ces principes, le consentement ne peut être regardé comme libre et comme étant par suite susceptible de lever l’interdiction posée par le RGPD» explique-t-elle.
La Commission propose de mettre en place des solutions alternatives à la reconnaissance faciale pour garantir un consentement libre comme un face-à-face en préfecture ou un appel vidéo avec un agent de l’ANTS. Des solutions qui n’ont pas été retenues par le gouvernement dans son décret. «Le plus inquiétant dans cette procédure, c’est que nous constatons une perte de pouvoir de la CNIL. Si même le gouvernement ne l’écoute plus, qui va le faire?» s’interroge Martin Drago, juriste au sein de la Quadrature du Net, contacté par Le Figaro. «Proposer des alternatives, c’est le minimum» explique-t-il. L’expert regrette l’absence de prise de conscience de l’opinion et des pouvoirs publics sur le sujet de la reconnaissance faciale alors que déjà plusieurs villes, notamment aux États-Unis, ont décidé de bannir cette technologie.
Les sites français ont droit à un sursis d’un an quant au recueil du consentement de leurs visiteurs à se faire traquer. Cette période transitoire offerte par la Cnil aux éditeurs fait enrager les défenseurs de la vie privée et pourrait valoir au régulateur un remontage de bretelles au niveau européen.
Marie-Laure Denis et le collège renouvelé de la Cnil n’étaient pas là pour rigoler. C’était en substance le message envoyé en avril dernier, à l’occasion de la présentation du bilan annuel de l’autorité. Google venait d’écoper d’une amende de 50 millions d’euros pour ne pas avoir respecté les principes du RGPD et le gendarme des données personnelles assurait vouloir « crédibiliser le nouveau cadre juridique ». De la pédagogie, toujours, mais surtout des contrôles et des sanctions renforcées.
Et pourtant, le plan d’action de la Cnil en ce qui concerne le ciblage publicitaire ne va pas dans ce sens. Depuis l’entrée en vigueur du RGPD, le régulateur s’est toujours refusé à offrir une « période de grâce »… jusqu’à aujourd’hui. Le programme de la Cnil consiste à réviser sa recommandation relative aux cookies, en date de 2013, afin de l’adapter au nouveau cadre juridique. Sur le papier, l’harmonisation de ces lignes directrices avec le droit européen, in fine un rappel des « règles de droit applicables », est sensée.
Echec au droit (européen)
Mais la décision d’offrir une période transitoire d’un an fait hausser plus d’un sourcil. A commencer par ceux de la Quadrature du Net. Sur son site, la Cnil explique que, « durant cette période de transition, la poursuite de la navigation comme expression du consentement sera donc considérée par la CNIL comme acceptable ». Soit l’application d'une règle antérieure à l’entrée en vigueur du RGPD.
Ce qui va en outre à l’encontre des lignes directrices du Comité Européen de la Protection des Données, dont la Cnil est co-rédactrice. « Il n’existe aucune possibilité laissée à la CNIL pour repousser jusqu’à juillet 2020 l’application du RGPD » dénonce la Quadrature dans un communiqué. « La décision que la CNIL s’apprête à prendre violerait de plein front le droit européen et justifierait un recours en manquement contre la France par la Commission européenne ».
Open bar sur les cookies jusqu’en juillet 2020
Certes, la Cnil affirme qu’elle « continuera à instruire les plaintes et le cas échéant à contrôler, entre autres, qu’aucun dépôt de cookies n’a lieu avant le recueil du consentement ». Mais cette « période de grâce » courant jusqu’en juillet 2020 implique que le seul fait de faire défiler la page après un bandeau d’information sur le dépôt de cookies vaut consentement de l’internaute (attention donc à vos molettes de souris, un consentement involontaire est si vite arrivé).
L’association assure que cette décision est le résultat de négociations entre la Cnil et le GESTE, syndicat d’éditeurs de contenus en ligne). « Aujourd’hui, la CNIL semble vouloir appliquer un droit différent entre Google et les médias français qui, eux, pourraient se contenter d’un consentement « implicite », violant tranquillement nos libertés fondamentales dans la poursuite de profits publicitaires intolérables » écrit la Quadrature, qui n’exclut pas de former un recours devant le Conseil d’Etat.
Un an après l’entrée en vigueur du règlement européen RGPD sur la vie privée, de très nombreux sites ont recours à un service de cette société, pourtant peu connue pour recueillir votre consentement.
Par Damien Leloup Publié le 25 mai 2019 à 14h00
C’est un sigle qui a pris beaucoup d’importance il y a un an, le 25 mai 2018, lorsque le règlement européen sur la protection des données personnelles (RGPD) est entré en vigueur. CMP, pour Consent Management Platform (« plate-forme de gestion du consentement »). Comme Monsieur Jourdain la prose, quasiment tous les internautes en utilisent quotidiennement sans le savoir : ce sont les services qui affichent les messages désormais bien connus vous demandant d’accepter que vos données soient utilisées pour, selon les cas, « vous proposer une expérience personnalisée », « analyser le trafic », ou « personnaliser les publicités ».
Notre enquête : Que s’est-il passé en un an de RGPD, la loi censée protéger vos données ?
Si la quasi-totalité des sites Web se sont mis à afficher des messages de ce type il y a un an, c’est parce que le RGPD a fortement renforcé la manière dont les sites Internet doivent recueillir le consentement de leurs visiteurs, avant de pouvoir enregistrer ou utiliser des données sur leur navigation. Tous les sites commerciaux « pistent » leurs visiteurs, au mieux pour savoir quelles pages sont les plus visitées, au pire pour suivre de manière très détaillée la navigation des internautes et afficher des publicités ciblées. Le RGPD impose, dans tous les pays européens, de recueillir le consentement des internautes avant de commencer à les pister.
Or, même si la mise en place du RGPD était prévue depuis des années, de très nombreuses entreprises ont été prises de court par son entrée en vigueur ; d’autres ne disposaient pas des outils ou des compétences techniques pour gérer ce « recueil du consentement ». De très nombreux sites ont donc préféré avoir recours à une solution « clés en main », proposée par des sociétés comme Quantcast, qui offrait aux éditeurs de site, avec Quantcast Choice, un outil gratuit, simple d’utilisation et conforme à la réglementation. Les sites américains, souvent pris de court, ont massivement opté pour ces solutions toutes prêtes.
Fenêtre très reconnaissable
Et l’outil de Quantcast a été un succès : installé selon l’entreprise sur plus de 26 000 sites, il devance largement ses concurrents, et l’entreprise a annoncé cette semaine la sortie d’une version « premium » payante. Sa fenêtre très reconnaissable, avec son bouton en général bleu, et parfois son menu permettant de sélectionner les données dont la collecte est autorisée (au choix de l’administrateur du site), accueille les visiteurs sur de très nombreuses pages Web.
Sauf que Quantcast, comme la plupart de ses concurrents dans ce domaine, n’est pas une entreprise spécialisée dans la vie privée, mais… dans la publicité. Fondée en 2006 aux Etats-Unis, la société s’est fortement développée ces dix dernières années, et a ouvert des bureaux dans une dizaine de pays, dont la France. Les outils qu’elle propose sont utilisés sur « plus de 100 millions de [sites et applications] Web et mobiles », selon Quantcast. Jusqu’à l’an dernier, ses deux principaux produits étaient Quantcast Measure, un outil de suivi de la fréquentation, et Quantcast Advertise, une « place de marché » publicitaire qui collecte et utilise de très importants volumes de données sur les internautes ; son service Choice ne collecte, lui, que les données de consentement de l’utilisateur, qui ne sont pas utilisées à des fins publicitaires, explique l’entreprise sur son site.
Enquête du régulateur irlandais
En revanche, son outil publicitaire a été épinglé, il y a six mois, par l’ONG Privacy International, qui listait Quantcast parmi les sept entreprises « dont vous n’avez jamais entendu parler, mais à propos desquelles nous avons saisi les régulateurs ». « Le RGPD fixe des limites claires à l’utilisation des données personnelles, et pourtant les pratiques de ces entreprises ne respectent pas les standards fixés. Nos documents démontrent l’ampleur et le caractère systématique de ces violations des lois protégeant la vie privée », affirmait à l’époque l’association.
Dans le cas de Quantcast, le régulateur irlandais de la vie privée a jugé les éléments fournis par Privacy International suffisamment solides pour ouvrir une enquête formelle le 2 mai. « L’enquête devra établir si la compilation et l’analyse de données personnelles, en vue de la création de profils destinés à l’affichage de publicités ciblées, sont en conformité avec le RGPD », écrit le régulateur. « Le respect des principes établis par le RGPD sur la conservation des données et la transparence seront également examinés ». Quantcast avait à l’époque affirmé qu’elle « coopérera[it] totalement avec l’enquête ».
Damien Leloup