L’identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens
Si l’identité civile est traditionnellement du ressort des États, en parallèle se met en place une identité numérique à l’initiative d’acteurs privés, notamment les géants du numérique que sont les GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM). Afin de consolider leur souveraineté et la protection des citoyens, les États ont tout intérêt à déployer une identité civile numérique nationale renforcée.
L’identité civile numérique1 nationale ne dispose pas d’une reconnaissance juridique explicite et complète2. Elle existe toutefois déjà partiellement par les usages informatiques parcellaires des données des personnes porteuses de documents d’identité, tels que la carte d’identité3, le passeport, la carte Vitale, contenant diverses informations numérisées permettant d’identifier et d’authentifier les personnes physiques et par FranceConnect, institué par l’arrêté du 24 juillet 2015, portant création d’un traitement de données à caractère personnel d’un téléservice dénommé « dispositif d’identification ». Elle se distingue des « hubs d’identités », sortes d’identités numériques privées mises en place notamment par les géants du numérique que sont les GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM) et les BATX (Baidu, Alibaba, Tencent, Xiaomi), développés grâce à l’exploitation des données personnelles des internautes par l’intelligence artificielle. Elle demeure ainsi encore relativement floue, insaisissable et lacunaire.
Selon le dictionnaire de l’Académie française, l’identité, mot dérivé du bas latin identitas, « qualité de ce qui est le même », lui-même issu du latin classique idem, « le même », est la « personnalité civile d’un individu, légalement reconnue ou constatée, établie par différents éléments d’état civil et par son signalement », ainsi que les « documents administratifs que l’on présente pour justifier de son état civil, de son domicile, etc. »4. Elle est, selon le doyen Cornu, « pour une personne physique, ce qui fait qu’une personne est elle-même, et non une autre ; par extension, ce qui permet de la reconnaître et de la distinguer des autres, l’individualité de chacun ». L’identité civile est constituée de l’« ensemble des éléments qui, aux termes de la loi, concourent à l’identification d’une personne physique (dans la société, au regard de l’état civil) : nom, prénom, date de naissance, filiation »5. L’identité, associée au numérique, renvoie à « du codage, de la transmission d’informations ou de grandeurs physiques sous forme de chiffres ou de signaux à valeur discrète (ou discontinue). En informatique, le traitement numérique de l’information utilise le mode binaire »6. L’identité numérique est ainsi à rapprocher des outils numériques permettant d’identifier, de stocker et d’exploiter les données personnelles d’un individu en vue de l’identifier et de l’authentifier, directement ou indirectement, explicitement ou de manière anonyme, en tant que personne unique, distincte des autres, ayant ses caractéristiques propres et singulières. En d’autres termes, elle est un « moyen numérique de preuve de l’identité »7.
Son rôle est particulièrement important pour la confiance et la sécurisation des différentes activités humaines puisqu’elle permet de garantir la preuve de l’identité des internautes afin d’accéder à des services numériques en vue d’actions diverses telles que la consultation, l’achat de biens, le moyen d’accéder à des données confidentielles (services administratifs, bancaires, dossier médical partagé), ou encore la réalisation d’opérations commerciales par la signature d’un contrat (signature électronique) et d’opérations bancaires. À ce titre, elle permet l’imputabilité de ces différentes actions, ce qui est essentiel pour la preuve juridique des opérations réalisées. La loi n° 2016-1321 du 7 octobre 2016 pour une République numérique a, dans cette optique, institué l’article L. 136 du Code des postes et des communications électroniques reconnaissant la possibilité d’un moyen d’identification électronique comme preuve de l’identité aux fins d’accéder à un service de communication au public en ligne.
L’identité civile a longtemps été uniquement du ressort de l’État, notamment par le biais de l’état civil, de la carte d’identité ou encore du passeport. Ce pouvoir exclusif n’existe plus en pratique, dans la mesure où les entreprises du numérique construisent des identités numériques privées. La pérennité de l’identité civile numérique nationale est par conséquent primordiale quant au maintien du pouvoir régalien des États en termes de sécurisation et de régulation de l’identité des citoyens. Ce pouvoir est d’autant plus important en considération de la construction en cours du marché numérique européen (2019-2024), de l’article 8 de la charte des droits fondamentaux de l’Union européenne ayant consacré le « droit à la protection des données personnelles », du règlement (UE) n° 910/2015 du Parlement européen et du Conseil du 23 juillet 2014, dit règlement eIDAS, sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive n° 1999/93/CE8, du règlement (UE) n° 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et de sa transposition au niveau français par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles9 modifiant la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés, de la loi n° 2016-1321 du 7 octobre 2016 pour une République numérique, du règlement (UE) n° 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (l’agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et du futur règlement ePrivacy du Parlement européen, qui pourrait paraître dans les mois à venir10.
En dépit de ces textes importants, la souveraineté numérique des GAFAMI devient de plus en plus préoccupante à l’égard des données personnelles identifiantes des citoyens, ce qui justifie une protection régalienne renforcée. L’identité civile numérique nationale constitue ainsi un enjeu majeur de souveraineté nationale (I) justifiant son déploiement juridique (II).
I – L’identité civile numérique nationale, un enjeu majeur de souveraineté
L’identité civile numérique constitue un enjeu majeur de la souveraineté nationale des États, laquelle est mise à mal par l’influence grandissante des GAFAMI, qui exploitent de manière croissante les données identifiantes des citoyens (A), et par la cybercriminalité, qui y porte atteinte (B).
A – La souveraineté nationale des États mise à mal par la souveraineté numérique des GAFAMI
Disposant d’une puissance financière exponentielle avec une capitalisation boursière de 4 200 milliards de dollars11, les géants du numérique voient leurs marges de pouvoir sans cesse s’accroître à l’échelle mondiale, tant en matière de collecte et de stockage, que d’exploitation de données de toute nature, dont celles en lien avec l’identité numérique de leurs utilisateurs (adresse IP, adresse électronique, etc.), d’autant qu’ils fondent leur modèle économique sur la monétisation des données de la vie privée en incitant leurs utilisateurs à les céder. Ils disposent à cet effet de dispositifs techniques incomparables, qu’ils ne cessent d’enrichir par la mise à disposition aux particuliers, entreprises et États, de multiples services, devenus incontournables, tels que les moteurs de recherche, les réseaux sociaux, les clouds, les plateformes, les systèmes d’exploitation, les applications installées sur les ordinateurs et les smartphones. La collecte d’un nombre incalculable de données est entérinée par l’exigence légale, à l’égard des prestataires internet, fournisseurs d’accès et d’hébergement, de la conservation des données d’identification de leurs clients ou abonnés, ce qui les encourage à créer des dispositifs d’enregistrement, notamment dans leurs journaux informatiques (log) ou tout autre moyen permettant de conserver les données techniques de leurs utilisateurs12. Leur influence est d’autant plus importante qu’ils disposent de moyens sans cesse plus performants en termes de puissance de calcul, par le biais de la 5G ou, de manière éminente, par l’ordinateur quantique13.
Les « hubs d’identités », identités numériques aux finalités essentiellement publicitaires, optimisées par des offres stratégiquement ciblées et personnalisées des produits commercialisés, permettent ainsi aux GAFAMI d’exercer une souveraineté numérique contestable en matière de protection des utilisateurs. C’est ainsi qu’Amazon établit des profils ciblés de consommation, d’envies d’achats de ses clients, par une analyse des types de produits achetés et des pages consultées. Google décrypte les centres d’intérêt des internautes grâce à des sites consultés et à des vidéos visionnées sur YouTube, de même que les déplacements par Google Maps, les agendas, etc. L’assistant vocal d’Amazon, Alexa, dont la finalité officielle est d’améliorer la reconnaissance vocale, enregistre d’importantes données personnelles de ses utilisateurs à leur insu. Les utilisateurs du téléviseur Samsung sont mis sur écoute, ce qui génère le recueil de données personnelles sans consentement14. Une base de données de visages, sans autorisation des personnes concernées, est élaborée par Microsoft15. Facebook connaît un nombre incalculable de données sensibles de ses utilisateurs, que ce soit en termes de sujets de discussion, de goûts ou d’opinions politiques. Apple, via les iPhone, partage les informations personnelles de ses clients16. À cela s’ajoute la surexposition des personnes à une surveillance constante par des procédés de traçabilité numérique en continu, notamment par les adresses IP et leur localisation. Ces multiples moyens, détenus par les entreprises du numérique, sont ainsi un terrain privilégié d’intérêts stratégiques, économiques, mais aussi de pouvoirs de surveillance et de manipulation de groupes et de masses susceptibles de remettre en cause la souveraineté des États. L’affaire Cambridge Analytica, où Facebook a cédé à cette société des milliers de données d’utilisateurs qui ont été utilisées pour des finalités politiques en faveur de l’élection à la présidence de Donald Trump, en est un parfait exemple17.
L’identité numérique constitue par conséquent un enjeu essentiel de souveraineté nationale, dans la mesure où les États, dont la France, garants exclusifs de la gestion et du contrôle de l’état civil des citoyens, doivent toujours pouvoir assurer la sécurité de ces derniers par la protection de leur identité, en lien direct avec leurs libertés individuelles18 et leur vie privée. Cette nécessité est d’autant plus cruciale que la souveraineté nationale peut aussi être mise à mal par la cybercriminalité portant atteinte aux données identifiantes des citoyens.
B – La souveraineté nationale mise à mal par la cybercriminalité portant atteinte aux données identifiantes des citoyens
La souveraineté nationale en matière d’identité est susceptible d’être remise en cause par le développement exponentiel de la cybercriminalité (1). Les États doivent rester extrêmement vigilants et protecteurs des données personnelles identifiantes de leurs citoyens (2).
1 – Les risques majeurs du développement de la cybercriminalité
Les citoyens, mais aussi les services administratifs et les entreprises, constituent une cible majeure de la cybercriminalité, ce qui peut réduire la confiance à l’égard des activités sur le territoire national. Le développement des cyberrisques est constitutif de menaces majeures en termes d’usurpation d’identité par la mise en œuvre d’actions nuisibles à l’image et à la réputation des personnes, et plus particulièrement du détournement de l’identité afin de procéder notamment à des achats en ligne. Les hackers sont sans cesse plus tentés de capter les données numériques personnelles des citoyens qui représentent une valeur monétaire considérable compte tenu de l’exploitation susceptible d’en être faite, soit au profit des pirates eux-mêmes, par des systèmes de rançon, à l’exemple récent du piratage des données de l’hôpital de Rouen, soit pour les céder à des entreprises intéressées par le profilage numérique des personnes. Des failles dans les systèmes de traitement des données personnelles sauvegardées ne cessent de s’accroître, à l’exemple récent d’une brèche majeure détectée dans le système biométrique des banques, de la police et des entreprises de défense britanniques19. Dès lors, il est indispensable que les États redoublent de vigilance afin d’offrir une protection efficace aux citoyens à l’égard de leurs données numériques identifiantes.
2 – La nécessité d’une protection régalienne efficace des données numériques identifiantes des citoyens
Des mesures existent déjà en vue de la protection des données personnelles identifiantes. Il en est ainsi du règlement (UE) n° 2016/679 du Parlement européen et du Conseil, du 27 avril 2016, relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD), et de sa transposition au niveau français par la loi n° 2018-493 du 20 juin 2018 relative à la protection des données personnelles20 modifiant la loi n° 78-17 relative à l’informatique, aux fichiers et aux libertés. L’article 323-1 du Code pénal punit « le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données » (jusqu’à 5 ans de prison et 150 000 € d’amende). Les articles 226-4-1, 433-19, 434-23, 441-6 du même code prévoient aussi différentes incriminations et sanctions en matière d’usurpation d’identité. Toutefois, il n’est pas certain que celles-ci soient suffisantes ou adaptées. L’identité civile numérique nationale doit par conséquent être déployée par les États, et tout particulièrement par la France pour qui cela représente un enjeu majeur. Un effort de recherche et d’innovation est ainsi d’autant plus justifié.
II – Le nécessaire déploiement juridique de l’identité civile numérique nationale
Les États, dont la France, ont tout intérêt à être vigilants pour le développement et la consolidation d’une identité civile numérique nationale leur permettant de renforcer leur souveraineté à l’égard des acteurs privés déployant en parallèle une identité numérique distincte. Cette attention est d’autant plus essentielle pour des besoins de sécurisation des activités économiques et financières (entreprises, banques, assurances) et des téléservices publics (justice, police, services de santé, fiscaux, de retraite, cartes d’identité et passeports, etc.). Si l’intérêt de la reconnaissance juridique de l’identité numérique ne se pose plus, encore convient-il d’opérer un choix stratégique de ses éléments constitutifs (A), assorti de garanties spécifiques aux citoyens (B).
A – Le choix stratégique des éléments constitutifs de l’identité civile numérique nationale
Le choix stratégique des éléments constitutifs de l’identité civile numérique nationale est majeur, dans la mesure où il doit répondre aux besoins réels de la société actuelle, confrontée à de multiples révolutions technoscientifiques, juridiques, économiques, numériques nécessitant réactivité, instantanéité et agilité, tout en maintenant des niveaux de garantie satisfaisants en matière de sécurité, notamment pour les transactions commerciales et les téléservices administratifs.
Plusieurs types d’éléments d’identification des personnes peuvent être recensés.
Les éléments classiques de l’identité se rapportent aux actes de l’état civil21, ce qui renvoie à divers actes tels que, notamment, les actes de naissance, actes de mariage, etc.22 Ils permettent l’authentification juridique publique officielle de la personne. À ceci s’ajoutent en pratique d’autres moyens permettant d’identifier un individu tels que la carte d’identité, le passeport, le permis de conduire, la carte Vitale, le numéro de Sécurité sociale, le numéro de matricule, l’identité bancaire ou encore la carte d’électeur. Leur numérisation reste partielle puisque si les données sont enregistrées et stockées sur des plateformes tenues par des autorités publiques, ils requièrent encore l’usage du papier, par la réception, par exemple, d’un extrait d’état civil, par la carte d’identité ou le passeport, toujours délivrés en support papier.
Les éléments virtuels de l’identité renvoient aux adresses de messagerie, codes d’accès, adresses IP, pseudonymes, avatars, mots de passe dépendant d’un service numérisé administratif (accès aux services publics fiscaux) ou privé (accès à des sites d’entreprises).
Les attributs naturels de l’identité correspondent à différentes mesures physiologiques (morphologiques ou biologiques) ou comportementales. De nouvelles modalités d’authentification biométriques complètent substantiellement les empreintes digitales. Il peut s’agir de l’ADN – à l’exemple de la Chine où, depuis 2003, plusieurs personnes disposent de leur carte d’identité génétique –, du sang, de la salive, du battement du cœur, des empreintes génétiques de la personne23, du réseau veineux d’un doigt, de la voix, de la démarche, de la gestuelle, de la dynamique d’une signature, de la manière de toucher un clavier d’ordinateur, d’une photographie du visage envisagée aux fins de reconnaissance faciale compte tenu notamment de la forme unique du visage ou encore des caractéristiques de l’œil (iris, rétine)24. Ces caractéristiques corporelles et comportementales des personnes, assimilables à des sortes de signatures ou empreintes physiques, montrent à quel point tout individu est unique et singulier. Dans une certaine mesure, la carte Vitale en France constitue une première forme d’identité numérique corporelle25 car elle contient des éléments permettant d’appréhender la santé de la personne et donc, par ce biais, diverses informations portant sur le physique de celle-ci.
Le choix stratégique par les États des éléments permettant de construire l’identité civile numérique nationale est crucial, en termes de souveraineté et de lutte contre la cybercriminalité, afin de la consolider et de la sécuriser. La reconnaissance faciale est souvent mise en exergue. Elle ne saurait suffire en raison des récentes failles, un informaticien ayant démontré qu’un maquillage est susceptible de tromper des logiciels de reconnaissance faciale, les enfants du politicien irlandais Matt Carthy ayant contourné le système de reconnaissance faciale de leur père à l’aide d’une simple photographie, un masque 3D ayant aussi permis de déjouer la technique26. Il convient, par conséquent, de choisir stratégiquement plusieurs éléments constitutifs de l’identité numérique, qui permettent une fiabilité et une réduction de marge d’erreur, notamment dans le cadre du terrorisme, mais aussi dans le cas de la recherche de personnes disparues. En effet, la reconnaissance faciale seule présente des limites, l’examen d’un logiciel d’analyse faciale ayant démontré un taux d’erreur de 0,8 % pour les hommes à la peau claire et de 34,7 % pour les femmes à la peau sombre27. Le couplage de plusieurs biométries s’avère ainsi plus pertinent en termes d’identité civile numérique nationale qualitative mais aussi sécuritaire, les croisements complexes d’éléments numériques d’identification ayant pour objectif d’éviter les intrusions de hackers extrêmement inventifs pour accéder aux données sécurisées. Il en va du maintien de la confiance et de la stabilité des réseaux.
Toutefois, il n’est pas certain que l’ensemble des éléments recensés permettant de construire une identité civile numérique nationale originale et sécurisée puissent être retenus, puisque la grande chambre de la Cour européenne des droits de l’Homme (CEDH) a considéré, à l’occasion d’un arrêt du 4 décembre 2008 (S. et Marper c/ Royaume-Uni), que « la conservation d’échantillons cellulaires comme des profils ADN est une ingérence dans le respect de la vie privée (…). Les modalités de cette conservation doivent être encadrées par des règles claires et détaillées. Si la prévention des infractions pénales, grâce à l’identification de futurs délinquants, est un but légitime, la conservation doit être proportionnée à ce but et limitée dans le temps »28. De même, le Conseil constitutionnel, par la décision n° 2012-652 DC, a censuré, le 22 mars 2012, la loi relative à la protection d’identité, portant notamment sur la création d’une base de données géante, pour non-respect de la vie privée, cette base comprenant divers éléments de reconnaissance corporels (taille, couleur des yeux, empreintes digitales, photographie).
Par ailleurs, certaines données identifiantes doivent demeurer anonymes. La jurisprudence a explicitement reconnu cette nécessité de protection à l’égard de l’identité virtuelle lorsqu’une personne se présente sous un pseudonyme ou un avatar29. Cette nécessité est d’autant plus justifiée à l’égard des données personnelles en lien avec les caractéristiques biologiques, génétiques, génomiques de la personne. Il en est déjà ainsi dans le domaine de la recherche conformément notamment aux dispositions du RGPD30 considérant que les données anonymisées sont des données non personnelles justifiant leur partage et leur libre utilisation pour des finalités de recherche dans un objectif d’intérêt général. Le risque est la réidentification de ces données sensibles, plusieurs démonstrations ayant mis en exergue les possibilités d’y parvenir31. Des chercheurs de l’UCLouvain et de l’Impérial College de Londres, à l’occasion d’un article du 23 juillet 2019 dans la revue Nature Communications, affirment même avoir mis au point une méthode mathématique de réidentification des données d’une personne spécifique dans un ensemble de données anonymisées, même très incomplet32. L’État français doit, par conséquent, rester attentif aux risques de réidentification, encore facilitée par la puissance de calcul démultipliée de l’ordinateur quantique en développement. Des initiatives parlementaires vont dans ce sens par la constitution d’un groupe d’études sur la cybersécurité et la souveraineté. Il convient d’aller plus loin en prévoyant des dispositifs de protection renforcés, tels qu’un cloud souverain ou des plateformes indépendantes sécurisées, totalement distincts des systèmes numériques mis en place par les GAFAMI.
Au surplus, afin de consolider la sécurité des données identifiantes personnelles, peut être envisagé le recours à la blockchain, qui permet non seulement de fixer à l’origine de manière définitive les attributs constitutifs de l’identité civile numérique nationale, mais aussi de tracer les différents recours aux procédures d’authentification, afin de détecter les personnes malveillantes dans le cadre du piratage et de l’usurpation d’identité aux fins de chantage, d’atteintes en matière de e-réputation, de détournements financiers ou de tout autre abus en lien direct avec l’identité. Cette technique, intéressante d’un point de vue probatoire, pourrait s’avérer pertinente concernant les données de connexion, les historiques de navigation, les copies d’éléments d’identité, etc.
D’ores et déjà sont envisagées des initiatives permettant la mise en place progressive d’une identité numérique nationale. FranceConnect a pour objet de faciliter l’accès aux services numériques en évitant la création d’identifiants spécifiques et garantissant la sécurisation des informations transmises par des dispositifs sécurisés33. Bien que le nombre d’utilisateurs ait dépassé la barre des 13 millions fin 2019, ce système reste encore limité à un certain nombre de services administratifs en ligne ou en rapport avec la vie locale. Il tend à s’ouvrir à la sphère privée. Depuis juin 2019, le ministère de l’Intérieur et l’Agence nationale des titres sécurisés (ANTS) ont aussi mis en place le test d’une nouvelle application, Alicem, prouvant, via un smartphone, par le biais de la reconnaissance faciale, complétée par le scan de la puce sécurisée du passeport ou du titre de séjour biométriques, l’identité en ligne d’une personne, ce qui permet à celle-ci d’accéder de manière sécurisée aux services administratifs de FranceConnect. Cette application, disposant d’un « niveau de garantie élevé », pourrait être prochainement étendue au grand public. Ces expériences permettent progressivement de déployer l’identité civile numérique nationale, qui, pour asseoir sa légitimité et son intérêt auprès des citoyens, doit être assortie d’importantes garanties.
B – Les garanties juridiques accompagnant le déploiement de l’identité civile numérique nationale
Le déploiement de l’identité civile numérique nationale, qui se justifie en matière d’accès aux services administratifs et qui présente un intérêt certain pour une extension à la sphère privée, n’est pas exempt de risques, ce qui justifie des garanties juridiques renforcées.
D’un point de vue technique, les pouvoirs publics ont tout intérêt à envisager d’importantes garanties de sécurité au niveau informatique en raison du développement croissant de la cybercriminalité. Ces garanties devront être sans cesse réactualisées et modernisées pour faire face aux hackers, qui disposent de moyens redoutables leur permettant de déjouer les sécurités numériques.
D’un point de vue juridique, des dispositions devront aborder la protection des libertés individuelles et de la vie privée dans le droit fil de l’article 19 de la Déclaration universelle des droits de l’Homme34, des articles 8 et 10 de la convention de sauvegarde des droits de l’Homme et des libertés fondamentales (convention EDH)35, de l’article 9 du Code civil36, et plus particulièrement de l’article 1er de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, qui dispose que « l’informatique doit être au service de chaque citoyen… Elle ne doit porter atteinte ni à l’identité individuelle, ni aux droits de l’Homme, ni à la vie privée, ni aux libertés individuelles ou publiques ». Les parlementaires devront ainsi, de manière transparente et pédagogique, exposer aux citoyens la proportionnalité des éléments retenus légitimant l’identité civile numérique nationale. Cette exigence de garanties préalables, y compris lors d’expérimentations, est clairement rappelée par la Commission nationale de l’informatique et des libertés (CNIL) à l’occasion de son rapport « Reconnaissance faciale : pour un débat à la hauteur des enjeux » en date du 15 novembre 2019. En effet, il ne faudrait pas que les éléments d’identification choisis pour l’identité civile numérique nationale soient ensuite utilisés pour d’autres finalités, telles que, par exemple, la surveillance excessive des citoyens, le fichage, ou encore dans des fichiers policiers opaques n’ayant fait l’objet, dans le passé, ni d’une autorisation légale ou réglementaire, ni d’une déclaration à la CNIL37, cette dernière pratique ayant officiellement cessé selon un rapport de 201838. Le ministère chinois de l’Industrie et de la Technologie de l’information a annoncé, pour des raisons de finalité de protection des droits et intérêts légitimes du cyberespace des citoyens, qu’à partir du 1er décembre 2019 les utilisateurs de téléphones mobiles sont tenus d’enregistrer leur identité en utilisant la technologie de la reconnaissance faciale à titre de vérification39. À cela s’ajoute la technologie de caméra de surveillance intelligente, désormais utilisée pour la surveillance de masse des citoyens chinois dans les lieux publics et sur internet, par le biais du « crédit social »40, complétée par la collecte d’informations sur les réseaux sociaux tels que Weibo, QQ ou WeChat. Ces dispositifs constituent des moyens de surveillance actifs des citoyens, lesquels sont, le cas échéant, exposés à des restrictions d’accès aux transports (trains, avions), à certains emplois, à l’obtention de prêts pour acheter un appartement, créer une entreprise, etc. Ces moyens de contrôle de grande ampleur s’expliquent par des raisons de sécurisation et de gestion d’un peuple aussi important que celui de la Chine, d’autant qu’il existe aussi des risques terroristes. Ils sont aussi progressivement et partiellement envisagés en France, la question de la proportionnalité des moyens étant posée. Un juste équilibre doit être recherché entre la protection des libertés individuelles41 et de la vie privée et la sécurité des citoyens et les contraintes de chaque pays compte tenu des besoins spécifiques.
D’un point de vue éthique, les éléments choisis pour l’identité civile numérique nationale ne sauraient mener à des catégorisations, génératrices d’inégalités et de discriminations au détriment de l’égalité d’accès des citoyens au numérique et aux services dans des conditions équitables. Des inquiétudes dans ce sens émergent déjà au Royaume-Uni et aux États-Unis à l’égard de projets de mise en place de séquençages systématiques, qui pourraient être porteurs de risques majeurs de discriminations par les futurs employeurs ou par les compagnies d’assurances ou présenter des risques quant à l’égalité d’accessibilité aux traitements préventifs et thérapeutiques.
Au-delà même des garanties à envisager permettant de justifier le déploiement de l’identité civile numérique nationale, les États devront aussi veiller à la sécurisation des dispositifs privés d’identité numérique en pleine expansion. À cet égard, la Cour de justice de l’Union européenne (CJUE) est déjà intervenue à l’occasion de deux arrêts le 24 septembre 201942 sur la technique du déréférencement43. Fondée sur l’article 1744 du règlement européen45, elle reste encore limitée et délicate à mettre en pratique, soit en termes de délais, soit pour la suppression effective, au niveau mondial, de l’ensemble des liens vers des informations occasionnant d’importants préjudices aux citoyens. La CJUE a, dans ce sens, déclaré « qu’il n’existe pas d’obligation de déréférencer sur l’ensemble des versions du moteur de recherche. L’exploitant est seulement tenu de déréférencer les versions de son moteur de recherche correspondant à l’ensemble des États membres. Il doit également veiller à l’efficacité de la protection en prenant des mesures propres à empêcher ou à sérieusement décourager les internautes d’avoir accès aux liens litigieux ». Et la CJUE de préciser que le droit au déréférencement doit « être mis en balance avec d’autres droits fondamentaux, tels que le droit fondamental à la liberté d’information des internautes, et dans le respect du principe de proportionnalité ». La Cour de cassation, lors d’un arrêt du 27 novembre 201946, après avoir rappelé les précisions apportés par la CJUE le 24 septembre, a aussi déclaré : « Lorsqu’une juridiction est saisie d’une demande de déréférencement portant sur un lien vers une page internet sur laquelle des données à caractère personnel relatives aux infractions, condamnations et mesures de sûreté sont publiées, elle doit, pour porter une appréciation sur son bien-fondé, vérifier, de façon concrète, si l’inclusion du lien litigieux dans la liste des résultats, affichée à la suite d’une recherche effectuée à partir du nom d’une personne, répond à un motif d’intérêt public important, tel que le droit à l’information du public, et si elle est strictement nécessaire pour assurer la préservation de cet intérêt ». Le Conseil d’État, le 6 décembre 2019, à l’occasion de 13 décisions, a rappelé les grands principes du cadre du déréférencement, à savoir : « Le juge se prononce en tenant compte des circonstances et du droit applicable à la date à laquelle il statue ; le déréférencement d’un lien associant au nom d’un particulier une page web contenant des données personnelles le concernant est un droit ; le droit à l’oubli n’est pas absolu. Une balance doit être effectuée entre le droit à la vie privée du demandeur et le droit à l’information du public ; l’arbitrage entre ces deux libertés fondamentales dépend de la nature des données personnelles »47. Outre le déréférencement, qui constitue une première garantie des États à l’égard des procédés privés portant sur les éléments d’identification numérique, devraient être envisagés des dispositifs régaliens de formation permettant aux citoyens de mieux appréhender leur identité numérique, qu’elle soit publique ou privée, et de se responsabiliser, d’autant que les éléments permettant de la constituer portent sur des données personnelles sensibles.
Au-delà même du déploiement indispensable par les États d’une identité civile numérique nationale et des actions visant à protéger les citoyens et à affermir leur souveraineté, différentes réflexions prospectives et actions devraient être envisagées au niveau de l’Europe. Dans ce sens, est prévue pour 2021 la mise en place d’une carte d’identité européenne généralisée à l’ensemble des États membres, conformément au règlement (UE) n˚ 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation48. Cette carte intégrera des données biométriques justifiant le stockage d’une image faciale et de deux empreintes digitales. Les États membres devront répondre à des normes minimales de sécurité en matière de protection des données. À plus long terme, il serait opportun de regrouper et de sécuriser l’ensemble des données sensibles des citoyens au moyen d’identifications et d’authentifications sécurisées, enregistrées sur une plateforme européenne autonome des systèmes informatisés des GAFAMI. De telles projections, qui pourraient être amorcées par le projet européen d’infrastructure de données Gaia-X, présenté le 4 juin 202049, ne présenteraient un intérêt réel qu’avec des moyens de sécurisation performants. Il est par conséquent indispensable de concevoir des écosystèmes européens pertinents et adaptés permettant de consolider la souveraineté européenne, garante de la souveraineté nationale des États membres.
Notes de bas de pages
-
1.
Sur le sujet, Pierre J., « Génétique de l’identité numérique. Sources et enjeux des processus associés à l’identité numérique », Les Cahiers du numérique 2011/1 (vol. 7), p. 15-29 ; Douville T., « Enfin un cadre juridique général pour l’identification électronique ! », D. 2018, p. 676 ; Netter E., Numérique et grandes notions du droit privé. La personne, la propriété, le contrat, janv. 2019, CEPRISCA, Essais, p. 48 à 159.
-
2.
Ministère de l’Éducation nationale et de la Jeunesse, « Identités numériques et usurpations d’identité », 24 mars 2017.
-
3.
La carte d’identité numérique n’existe pas en France à la suite de la censure, par le Conseil constitutionnel, de la loi du 27 mars 2012 relative à la protection de l’identité, au motif que le législateur avait méconnu sa compétence au regard de l’article 34 de la Constitution en ne précisant pas les contours de la fonction de la carte d’identité permettant de s’identifier sur les réseaux de communication électronique, v. Cons. const., 22 mars 2012, n° 2012-652 DC, cons. 14 : AJDA 2012, p. 623.
-
4.
Dictionnaire de l’Académie française 2020.
-
5.
Cornu G., Vocabulaire juridique. Association Henri Capitant, janv. 2001, PUF, Quadrige, p. 431.
-
6.
Dictionnaire de l’Académie française 2020.
-
7.
« Identité numérique », entretien avec Caprioli É. A., Mattatia F. et Vulliet-Tavernier S., CDE 2011, entretien 3.
-
8.
Sur la question, Douville T., JCP E 2017, 1005.
-
9.
L. n° 2018-493, 20 juin 2018 : JO n° 0141, 21 juin 2018, texte n° 1.
-
10.
Proposition de règlement du 10 janvier 2017 concernant le respect de la vie privée et la protection des données à caractère personnel dans les communications électroniques et abrogeant la directive n° 2002/58/CE (règlement vie privée et communications électroniques).
-
11.
« Nouvelles menaces : le monopole des GAFAM et l’effet réseau », Banque transatlantique.com, août 2019.
-
12.
Selon l’article 6, § 2, de la loi n° 2004-575 du 21 juin 2004, sur la confiance dans l’économie numérique (LCEN), les fournisseurs d’accès internet au public et les responsables de sites qui publient du contenu mis en ligne par des utilisateurs sont tenus de conserver pendant 1 an les données de nature à permettre l’identification de quiconque a contribué à la création des contenus. Le non-respect de cette obligation est puni de 1 an d’emprisonnement et de 75 000 € d’amende. Le détail des données à conserver est énoncé par le décret n° 2011-219 du 25 février 2011.
-
13.
Dans ce sens, en septembre 2019 Google a affirmé avoir atteint la « suprématie quantique » : « Google claims to have reached quantum supremacy », Financial Times, 20 sept. 2019.
-
14.
Crossley D., « Samsung’s listening TV is proof that tech has outpaced our rights », The Guardian, 13 févr. 2015.
-
15.
Van Nuffel P., « Microsoft met discrètement hors ligne une base de données contenant 10 millions de visages », DataNews, 8 juin 2019.
-
16.
Fowler G. A., « C’est le milieu de la nuit. Savez-vous à qui votre iPhone parle ? », The Washington Post, 28 mai 2019.
-
17.
Audureau W., « Ce qu’il faut savoir sur Cambrigde Analytica, la société au cœur du scandale Facebook », Le Monde, 22 mars 2018.
-
18.
Sanchez L., « La reconnaissance faciale pour s’identifier en ligne inquiète les défenseurs des libertés numériques », Le Monde, 27 juill. 2019.
-
19.
Taylor J., « Major breach found in biometrics system used by banks, UK police and defence firms – Fingerprints, facial recognition and other personal information from Biostar 2 discovered on publicly accessible database », The Guardian, 14 août 2019.
-
20.
L. n° 2018-493, 20 juin 2018 : JO n° 0141, 21 juin 2018, texte n° 1.
-
21.
Articles 34 à 54 du Code civil.
-
22.
Les différents actes de l’état civil sont envisagés aux articles 55 à 98-4 du Code civil.
-
23.
L’article 16-11 du Code civil limite l’identification d’une personne par ses empreintes génétiques aux cas suivants : « 1° dans le cadre de mesures d’enquête ou d’instruction diligentée lors d’une procédure judiciaire ; 2° à des fins médicales ou de recherche scientifique ; 3° aux fins d’établir, lorsqu’elle est inconnue, l’identité de personnes décédées ».
-
24.
Par ex., sur le sujet, Rozières G., « Amazon fournit à la police américaine Rekognition, son système de reconnaissance faciale », Huffpost, 23 mai 2018 ; en Inde, un outil de reconnaissance faciale utilisé par les autorités aurait permis de retrouver en 4 jours 3 000 enfants disparus : « Delhi: Facial recognition system helps trace 3000 missing children in 4 days », The Times in India, 22 avr. 2018.
-
25.
« Comment gérer l’identité numérique ? », Institut national des hautes études de la sécurité et de la justice, déc. 2015, p. 20.
-
26.
Brewster T., « We broke into a bunch of Android phones with a 3D printed head », Forbes, 13 déc. 2018.
-
27.
Hardesty L., « Une étude révèle des biais liés au genre et à la peau dans les systèmes commerciaux d’intelligence artificielle », MIT News, 11 févr. 2018.
-
28.
CEDH, 4 déc. 2008, nos 30562/04 et 30566/04, S. et Marper c/ Royaume-Uni.
-
29.
TGI Paris, 26 oct. 2004, n° 02/10521.
-
30.
Groupe de travail Article 29 (sur la protection des données), rapport technique, avr. 2014 : Avis 05/2014 sur les techniques d’anonymisation.
-
31.
Rocher L., Hendrickx J. M. et de Montjoye Y.-A., « Estimating the success of re-identifications in incomplete datasets using generative models », Nature Communications, 23 juill. 2019. Cette recherche cite plusieurs articles exposant la réidentification de données anonymes notamment dans les domaines de différents types de transports.
-
32.
Rocher L., Hendrickx J. M. et de Montjoye Y.-A., « Estimating the success of re-identifications in incomplete datasets using generative models », Nature Communications, 23 juill. 2019.
-
33.
https://franceconnect.gouv.fr ; A., 24 juill. 2015, portant création d’un traitement de données à caractère personnel par la direction interministérielle des systèmes d’information et de communication d’un téléservice dénommé « FranceConnect » : JO n°0180, 6 août 2015, texte n° 4 – A., 8 nov. 2018, relatif au téléservice dénommé « FranceConnect » créé par la direction interministérielle du numérique et du système d’information et de communication de l’État : JO n° 0264, 15 nov. 2018, texte n° 3.
-
34.
DUDH, art. 19 : cette disposition porte sur la liberté d’opinion.
-
35.
Conv. EDH, art. 8 et 10 : ces deux articles interviennent pour la protection de la vie privée et la liberté d’expression.
-
36.
C. civ., art. 9 : cet article vise la protection de la vie privée.
-
37.
Rapport d’information AN n° 1548 « sur les fichiers de police », 24 mars 2009, prés. par Batho D. et Bénisti J.-A. Ce rapport précisait qu’un nombre important de fichiers de police recensés n’avaient fait l’objet d’aucune autorisation ou déclaration.
-
38.
Selon le rapport d’information AN n° 1335 « sur les fichiers mis à la disposition des forces de sécurité », 17 oct. 2018, prés. par Paris D. et Morel-À-L’huissier P.
-
39.
Van der Made J., « Reconnaissance faciale imposée à 800 millions d’internautes chinois », RFI, 15 oct. 2019.
-
40.
Conseil d’État chinois, 14 juin 2014, avis sur l’impression et la diffusion du schéma de construction du système de crédit social (2014-2020).
-
41.
Sanchez L., « La reconnaissance faciale pour s’identifier en ligne inquiète les défenseurs des libertés numériques », Le Monde, 27 juill. 2019.
-
42.
Sur la question, « “Droit à l’oubli” ou liberté d’expression : la décision de la Cour de justice de l’Union européenne », Service-public.fr, 22 oct. 2019 ; CJUE, 24 sept. 2019, n° C-136/17, GC, AF, BH, ED c/ CNIL : RLDI 2019/163, n° 5580, obs. Costes L. – CJUE, 24 sept. 2019, n° C-507/17.
-
43.
Bretonneau A., « Le droit au “déréférencement” et la directive sur la protection des données personnelles », RFDA 2017, p. 535 ; Derieux E., « Conditions du déréférencement d’une information d’un moteur de recherche », Dalloz IP/IT 2018, p. 250 ; Tambou O., « Protection des données personnelles : les difficultés de la mise en œuvre du droit européen au déréférencement », RTD eur. 2016, p. 249 ; Martial-Braz N., « Le droit au déréférencement : vraie reconnaissance et faux-semblants ! », Dalloz IP/IT 2019, p. 631.
-
44.
L’article 17 du règlement (UE) n° 2016/679 du 27 avril 2016 est transposé à l’article 51 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et libertés), dans sa nouvelle rédaction au 1er juin 2019.
-
45.
CJUE, 24 sept. 2019, n° C-507/17, pt 46 : « Dans le cadre du règlement 2016/679, ce droit au déréférencement de la personne concernée trouve désormais son fondement à l’article 17 de celui-ci, qui régit spécifiquement le “droit à l’effacement”, également dénommé, dans l’intitulé de cet article, droit à l’oubli ». Dans l’affaire CJUE, 24 sept. 2019, n° C-136/17, elle vise toutefois conjointement, dans son point 65, l’article 17 et l’article 21 (droit d’opposition) du règlement européen : « La personne concernée est, en application de l’article 14, premier alinéa, sous a), de la directive 95/46 ou de l’article 17, paragraphe 1, sous c), et de l’article 21, paragraphe 1, du règlement 2016/679, susceptible d’avoir droit au déréférencement du lien en cause pour des raisons tenant à sa situation particulière ». L’article 21 du règlement européen a été transposé à l’article 56 de la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (loi Informatique et libertés), dans sa nouvelle rédaction au 1er juin 2019.
-
46.
Cass. 1re civ., 27 nov. 2019, n° 18-14675.
-
47.
Une distinction entre les données sensibles, les données pénales et les données de la vie privée est envisagée ; CE, 6 déc. 2019, n° 391000 ; CE, 6 déc. 2019, n° 393769 ; CE, 6 déc. 2019, n° 395335 ; CE, 6 déc. 2019, n° 397755 ; CE, 6 déc. 2019, n° 399999 ; CE, 6 déc. 2019, n° 401258 ; CE, 6 déc. 2019, n° 403868 ; CE, 6 déc. 2019, n° 405464 ; CE, 6 déc. 2019, n° 405910 ; CE, 6 déc. 2019, n° 407776 ; CE, 6 déc. 2019, n° 409212 ; CE, 6 déc. 2019, n° 423326 ; CE, 6 déc. 2019, n° 429154.
-
48.
JOUE L 188/67 à L 188/78, 12 juill. 2019.
-
49.
Site de Gaia-X et présentation du projet : https://www.data-infrastructure.eu/GAIAX/Redaktion/EN/Video/20200604-GAIA-X-Ministerial-talk/20200604-ministerial-talk.html.