L’usage d’Alicem validé par le Conseil d’État – Laurent Archambault – Cassandra Rotily

L’usage d’Alicem validé par le Conseil d’ÉtatObservations sous Conseil d’État, 4 novembre 2020, n° 432656 – Qualification de l’arrêt : important
Laurent Archambault, Avocat associé au barreau de Paris (SELENE Avocats), membre du Conseil pour les drones civils (émanation de la Direction générale de l’aviation civile)Cassandra Rotily >, Docteur en droit, responsable du pôle nouvelles technologies chez Air Space Drone
 

L’essentiel
Pour le Conseil d’État, « il ne ressort pas des pièces du dossier que, pour la création d’identifiants électroniques, il existait à la date du décret attaqué d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale ». Ainsi, « le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement ».

En outre, « il ressort des pièces du dossier que les téléservices accessibles via l’application ”Alicem” l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d’un compte Alicem peuvent accéder en ligne, grâce à un identifiant unique, à l’ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du règlement général sur la protection des données ». Dans ces conditions, « l’association requérante n’est pas fondée à soutenir que le consentement des utilisateurs de l’application Alicem ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du règlement général sur la protection des données et de la loi du 6 janvier 1978 ».

Ce qu’il faut retenir
L’application Alicem, solution d’identité numérique régalienne sécurisée, utilise une technologie de reconnaissance faciale à des fins d’authentification auprès de certains services publics et de leurs partenaires. L’association La Quadrature du Net a formé un recours devant le Conseil d’État, qui visait à l’annulation du décret du 13 mai 2019 autorisant la création d’Alicem comme moyen d’identification électronique. Le juge administratif suprême a estimé que le dispositif était conforme aux dispositions prévues par le règlement général sur la protection des données (UE) 2016/679 du 27 avril 2016 (RGPD) et la loi n° 78-17 du 6 janvier 1978, [dite] « Informatique et libertés ». En effet, le recours au traitement de données biométriques est nécessaire au regard de la finalité de ce traitement. De plus, le consentement des utilisateurs doit être considéré comme librement recueilli, puisqu’il existe une alternative permettant l’accès à l’ensemble des téléservices proposés sans recourir à un mécanisme de reconnaissance faciale.

Alicem pour « Authentification en ligne certifiée sur mobile » est une solution d’identité numérique régalienne sécurisée, développée par le ministère de l’Intérieur et de l’Agence nationale des titres sécurisés (ANTS). Cette application permet aux individus, via leur smartphone, de prouver leur identité. Ainsi, les titulaires d’un passeport ou d’une carte de séjour biométrique peuvent s’identifier en ligne auprès d’organismes publics ou privés partenaires et accéder à leurs téléservices. Pour créer un compte Alicem, l’usager doit consentir à un traitement de données biométriques collectées à travers le système de reconnaissance faciale. Si l’individu y consent, il est invité à enregistrer une courte vidéo à partir de laquelle un algorithme de reconnaissance faciale vérifie qu’il est le titulaire légitime du titre biométrique sur lequel l’identité numérique est fondée, tandis qu’un algorithme de reconnaissance du vivant analyse les actions effectuées sur la vidéo pour détecter toute tentative d’attaque informatique ou de tromperie. Une fois l’identité de l’usager authentifiée, il pourra finaliser son inscription et des identifiants électroniques seront associés à son compte. Ceux-ci lui permettront de se connecter sur l’application et d’effectuer des démarches sur les téléservices partenaires.

Cette solution d’identité numérique régalienne sécurisée a soulevé de vives polémiques dans la mesure où elle dispose d’un système de reconnaissance faciale. En parallèle, personne ne s’est offusqué de la même manière du développement d’identités numériques privées élaborées par les géants du numérique, à l’instar des GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM) et des BATX (Baidu, Alibaba, Tencent, Xiaomi), à partir de l’exploitation des données personnelles des internautes par l’intelligence artificielle (B. Bévière-Boyer, L’identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens, 23 sept. 2020, Actu-juridique.fr). La reconnaissance faciale est déjà bien ancrée dans notre quotidien, à tel point que les utilisateurs ne s’en rendent plus vraiment compte, à l’instar du déverrouillage de leurs smartphones ou encore de l’identification automatique des photographies postées sur Facebook. Plus grave encore, Microsoft a élaboré une base de données de visages, sans solliciter l’autorisation des personnes concernées (P. Van Nuffel, Microsoft met discrètement hors ligne une base de données contenant dix millions de visages, 8 juin 2019, DataNews) !

La technologie de reconnaissance faciale repose sur la computer vision (vision par ordinateur), domaine de l’intelligence artificielle qui permet aux ordinateurs de « voir » et d’analyser les images de façon automatique. La reconnaissance faciale permet, à partir de la photographie d’un individu, à un algorithme d’extraire un gabarit (soit une signature propre à chaque visage) qui va être comparé :

– soit à l’ensemble des gabarits enregistrés dans une base de données (identification faciale – comparaison « 1/n ») afin de déterminer l’identité à laquelle il correspond ;

– soit à un autre gabarit présenté (authentification faciale – comparaison « 1/1 ») ; on cherche alors à vérifier si le gabarit en question correspond bien à celui de la personne que l’individu prétend être. Ce gabarit sera donc comparé à celui de cette personne.

Dans le cas d’Alicem, l’identification faciale n’est pas utilisée, mais uniquement l’authentification faciale : l’utilisateur doit démontrer qu’il est bien celui qu’il prétend être. Pour la Commission nationale de l’informatique et des libertés (CNIL), « d’un point de vue strictement mathématique, les dispositifs reposant sur l’authentification des personnes sont nécessairement plus fiables que ceux visant à identifier les personnes : une comparaison 1/1 est toujours plus aisée et fiable qu’une comparaison 1/n » (Ass. nat., rapport d’information sur l’identité numérique, n° 3190, 8 juill. 2020, p. 55).

La CNIL a été saisie par le ministre de l’Intérieur d’une demande d’avis concernant le projet de décret autorisant la création d’un traitement automatisé permettant de délivrer une identité numérique dénommé « Application de lecture de l’identité d’un citoyen en mobilité » (Alicem). Dans sa délibération n° 2018-342 du 18 octobre 2018 portant avis sur un projet de décret autorisant la création d’un traitement automatisé permettant d’authentifier une identité numérique par voie électronique, la CNIL indique que, compte tenu de ses finalités, le traitement relève du règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données (RGPD) et des dispositions nationales prévues par la loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés (le droit national pouvant introduire des conditions supplémentaires en ce qui concerne le traitement de données biométriques). La CNIL se montre très critique à l’égard d’Alicem et estime que « la mise en oeuvre du traitement projeté doit être subordonnée au développement de solutions alternatives au recours à la biométrie, telle qu’utilisée pour vérifier l’exactitude de l’identité alléguée par la personne créant son compte, et ainsi s’assurer de la liberté effective du consentement des personnes concernées au traitement de leurs données biométriques au moment de l’activation de leur compte Alicem ». Selon la CNIL, le ministère ne propose pas d’alternative à la reconnaissance faciale pour créer une identité numérique de niveau élevé. De plus, pour la Commission, le consentement au traitement de données biométriques ne peut être regardé comme libre.

Cependant, contrairement à l’avis de la CNIL, le décret n° 2019-452 du 13 mai 2019 autorisant la création d’un moyen d’identification électronique dénommé « Authentification en ligne certifié sur mobile » a tout de même été pris en Conseil d’État pour autoriser ce traitement (en vertu de l’article 32 de la loi Informatique et libertés, qui dispose que « sont autorisés par décret en Conseil d’État, pris après avis motivé et publié de la Commission nationale de l’informatique et des libertés, les traitements de données à caractère personnel mis en oeuvre pour le compte de l’État, agissant dans l’exercice de ses prérogatives de puissance publique, qui portent sur des données génétiques ou sur des données biométriques nécessaires à l’authentification ou au contrôle de l’identité des personnes »). Ainsi, seul un dispositif de reconnaissance faciale permet l’activation du compte Alicem.

Fort de ce constat, l’association La Quadrature du Net demande alors au Conseil d’État l’annulation du décret n° 2019-452 du 13 mai 2019 précité dans le cadre d’une requête adressée le 15 juillet 2019 (A. Fitzjean O Cobhthaigh pour La Quadrature du net, requête introductive d’instance). Selon l’association, la création d’un moyen d’identification électronique nécessitant au moment de l’activation du compte un traitement de données biométriques de l’utilisateur « sans que celui-ci […] n’ait le choix d’un autre dispositif » affecterait directement l’exercice des droits fondamentaux dans l’environnement numérique. Le décret violerait certaines dispositions du RGPD et de la loi Informatique et libertés, mettant « particulièrement en danger le droit des personnes concernées au respect de leur vie privée ».

Dès lors, le dispositif Alicem permet-il aux individus de consentir librement au traitement de leurs données biométriques ? Le recours à la biométrie est-il nécessaire au regard de la finalité du traitement ?

I – La liberté de choix de l’individu

Pour le Conseil d’État, le consentement de l’individu au traitement de ses données biométriques est donné librement, dans la mesure où il n’est pas obligé d’y recourir, pouvant utiliser une alternative, à travers le dispositif FranceConnect et ce, sans mécanisme de reconnaissance faciale.

A – Le consentement libre de l’individu
Afin de pouvoir créer un compte Alicem, l’usager doit consentir à un traitement de ses données biométriques collectées à travers un système de reconnaissance faciale. Il convient de rappeler que les données biométriques sont des données sensibles et font l’objet d’une protection spécifique. L’article 6 de la loi Informatique et libertés (art. 8 au moment de sa rédaction applicable au litige) interdit les traitements utilisant des données biométriques aux fins d’identification d’une personne physique de manière unique. Cependant, à ce principe figurent des exceptions que l’on retrouve à l’article 9 du RGPD ; parmi lesquelles se trouvent l’obtention du consentement explicite de la personne concernée ainsi que l’intérêt public. Ce consentement doit résulter d’une manifestation de volonté « libre, spécifique, éclairée et univoque » pour être valable, au sens de l’article 4, § 11, du RGPD.

Il doit être mis en exergue que si l’utilisateur refuse de procéder à la reconnaissance faciale au stade de la procédure de création du compte Alicem, cela empêche la création de l’identité numérique Alicem. Or, la personne concernée doit disposer d’un contrôle et d’un choix réels concernant l’acceptation ou le refus des conditions proposées. De plus, la personne concernée doit pouvoir refuser sans subir de préjudice. En effet, le RGPD indique en son considérant 42 que « le consentement ne devrait pas être considéré comme ayant été donné librement si la personne concernée ne dispose pas d’une véritable liberté de choix ou n’est pas en mesure de refuser ou de retirer son consentement sans subir de préjudice ».

Pour l’association La Quadrature du Net, la base légale du consentement choisie par le décret ne tiendrait pas, considérant « qu’il ne résulte en aucun cas d’une manifestation de volonté, libre, spécifique, éclairée et univoque ». Selon elle, il n’existe aucun autre moyen pour l’utilisateur d’Alicem d’activer son compte sans passer par un dispositif de reconnaissance faciale. L’utilisateur serait donc contraint de consentir au traitement de ses données biométriques pour utiliser Alicem.

Dès lors, le consentement de l’individu est-il toujours libre sachant qu’il doit consentir à ce traitement de données biométriques pour pouvoir utiliser Alicem ? L’usager dispose-t-il d’une véritable liberté de choix ? Subit-il un préjudice s’il ne consent pas au traitement de ses données dans le cadre d’Alicem ?

Le Conseil d’État estime que l’usager ne subit aucune conséquence négative quant à la nature des services accessibles s’il refuse de donner son consentement au traitement de reconnaissance faciale mis en oeuvre dans le cadre de l’application Alicem. En effet, il existe une alternative puisque l’usager peut accéder, à l’aide d’un identifiant unique, à l’ensemble des services publics proposés en ligne, en particulier par le biais de FranceConnect (pt 9).

B – L’existence d’une alternative
D’après le Conseil d’État, « il ressort des pièces du dossier que les téléservices accessibles via l’application Alicem l’étaient également, à la date du décret attaqué, à travers le dispositif FranceConnect, dont l’utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale » (pt 9).

Ainsi, les usagers pouvaient accéder en ligne à l’ensemble des téléservices proposés sans être tenus de créer un compte Alicem et donc sans recourir à son mécanisme de reconnaissance faciale. L’existence d’une alternative, sans mécanisme de reconnaissance faciale permettrait donc de s’assurer du consentement libre de l’individu. Reste-t-il encore à savoir si le recours à la biométrie était nécessaire au regard de la finalité du traitement de données.

II – La biométrie : un dispositif en corrélation avec la finalité du traitement
Le Conseil d’État estime que la reconnaissance faciale permet d’offrir un niveau de garantie élevé et que la collecte de données est adéquate et proportionnée à la finalité du traitement.

A – Le niveau de garantie adéquat offert par la reconnaissance faciale
Le système de reconnaissance faciale est tout l’intérêt de l’application Alicem ; la biométrie permettant d’offrir un niveau de garantie élevé au sens du règlement européen « eIDAS » (Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE), dont l’ambition est d’accroître la confiance dans les transactions électroniques (pt 2). De surcroît, un tel système permet de contribuer à la lutte contre l’usurpation d’identité en ligne (pt 2). En effet, il n’existait pas, à la date du décret attaqué, « d’autres moyens d’authentifier l’identité de l’usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale » (pt 8).

Le Conseil d’État indique que le recours à la reconnaissance faciale était donc nécessaire au déploiement de ce dispositif. En effet, le recours à un dispositif de biométrie autorisé par le décret devait être « regardé comme exigé par la finalité de ce traitement » (pt 8).

B – La proportionnalité des données collectées au regard de la finalité du traitement
La collecte de données prévue pour l’utilisation de l’application Alicem concerne : l’identification de l’usager, l’identification de son titre biométrique, l’équipement terminal de communications électroniques qu’il utilise et l’historique des transactions associées à son compte. Il convient de se demander si la collecte de ces données est pertinente au regard de la finalité du traitement, soit la délivrance d’un moyen d’identification électronique permettant aux usagers de s’identifier électroniquement et de s’authentifier auprès d’organismes publics ou privés.

En effet, les données doivent être « […] adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et de leurs traitements ultérieurs » (pt 10) au moment du litige, il s’agissait de l’article 6 de loi Informatique et libertés. Cela est désormais prévu par l’article 4 de ladite loi mais cet article a été reformulé). Ainsi, les « données pertinentes au regard de la finalité d’un traitement sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité » (pt 10).

Dès lors, le recours à un système de reconnaissance faciale est-il proportionnel à l’objectif poursuivi par le traitement ? Le Conseil d’État répond par la positive : « eu égard à leur objet et aux finalités du traitement […], le recueil de ces données doit être regardé comme adéquat et proportionné à cette finalité » (pt 10). Ainsi, la requête de La Quadrature du Net a été rejetée.

Ce principe de proportionnalité est au cœur des débats sur les dispositifs de reconnaissance faciale. En effet, le tribunal administratif de Marseille avait annulé la délibération du conseil régional de Provence-Alpes-Côte d’Azur qui visait à expérimenter la reconnaissance faciale à l’entrée de deux lycées de la région (TA Marseille, 27 févr. 2020, n° 1901249, Association La Quadrature du Net, AJDA 2020. 492 ; AJCT 2020. 439, obs. R. Perray et H. Adda ; Dalloz IP/IT 2020. 148, obs. C. Crichton ; C. < Rotily et L. Archambault, Données biométriques issues d’expérimentations de reconnaissance faciale sur le territoire français : un défi à l’aune du droit 2.0 ?, Dalloz IP/IT 2020. 54). Les juges administratifs avaient suivi la position de la CNIL, laquelle considérait que cette expérimentation était « contraire aux principes fondamentaux de proportionnalité et de minimisation des données issus du RGPD » (CNIL, Expérimentation de la reconnaissance faciale dans deux lycées : la CNIL précise sa position, 29 oct. 2019). Ainsi, le recours à ce dispositif concernant des élèves, pour la plupart mineurs, dans le seul but de fluidifier et de sécuriser les accès n’apparaissait ni nécessaire, ni proportionné pour atteindre ces finalités.

Perspectives
Face au développement de ces dispositifs de reconnaissance faciale, le raisonnement de la CNIL repose sur la question de savoir si le recours à un dispositif biométrique est vraiment nécessaire au regard de l’objectif poursuivi et s’il n’existe pas un dispositif alternatif, moins intrusif pour les droits et libertés des individus. Par exemple, pour le cas de la sécurisation des accès aux lycées, ce dispositif alternatif pouvait consister en un contrôle par badge, et le tribunal administratif avait suivi ce raisonnement. Pour l’application Alicem, les solutions alternatives pouvaient consister en un face-à-face (déplacement en préfecture ou en mairie par exemple), en une vérification manuelle de la vidéo et de la photographie sur le titre (envoi de la vidéo au serveur de l’ANTS et vérification de l’identité opérée par un agent) ou encore un appel vidéo en direct avec l’ANTS ; mais ce raisonnement n’a pas été suivi par le Conseil d’État.


English version :


The use of Alicem validated by the Council of State
 
Laurent Archambault, Lawyer associated with the Paris Bar (SELENE Avocats), member of the Council for civil drones (emanation of the General Directorate of Civil Aviation) Cassandra Rotily, Doctor of Law, in charge of the new technologies division at Air Space Drone.

The main point
For the Council of state, “it does not appear from the documents in the file that, for the creation of electronic identifiers, there were, at the date of the contested decree, other means of authenticating the identity of the user in an entirely dematerialised manner with the same level of guarantee as the facial recognition system”. Thus, “the use of biometric data processing authorised by the contested decree must be regarded as required by the purpose of that processing”.
Furthermore, “it is clear from the documents in the file that the teleservices accessible via the ‘Alicem’ application were also accessible, on the date of the contested decree, through the FranceConnect system, the use of which does not presuppose consent to facial recognition processing. Since users who do not consent to the processing provided for in the context of the creation of an Alicem account can access all of the proposed teleservices online using a unique identifier, they cannot be considered as suffering harm within the meaning of the General Data Protection Regulation. Under these conditions, “the applicant association is not entitled to argue that the consent of users of the Alicem application was not freely obtained and, consequently, that the contested decree disregarded the provisions of the General Data Protection Regulation and the law of 6 January 1978
The key point
The Alicem application, a secure government digital identity solution, uses facial recognition technology for authentication purposes with certain public services and their partners. The association “La Quadrature du Net” lodged an appeal with the Council of State, which aimed to annul the decree of 13 May 2019 authorising the creation of Alicem as a means of electronic identification. The supreme administrative judge considered that the system complied with the provisions of the General Data Protection Regulation (EU) 2016/679 of 27 April 2016 (RGPD) and Law No. 78-17 of 6 January 1978, [known as] “Informatique et libertés”. Indeed, the use of biometric data processing is necessary with regard to the purpose of this processing. Moreover, the consent of users must be considered as freely given, since there is an alternative allowing access to all the teleservices offered without using a facial recognition mechanism.

Alicem for “Authentification en ligne certifiée sur mobile” (certified online authentication on a mobile phone) is a secure digital identity solution developed by the Ministry of the Interior and the National Agency for Secure Documents (ANTS). This application allows individuals to prove their identity via their smartphone. Thus, holders of a biometric passport or residence permit can identify themselves online to public or private partner organisations and access their remote services. To create an Alicem account, the user must consent to the processing of biometric data collected through the facial recognition system. If the individual consents, he or she is asked to record a short video from which a facial recognition algorithm verifies that he or she is the legitimate holder of the biometric credential on which the digital identity is based, while a life recognition algorithm analyses the actions performed on the video to detect any attempt at computer attack or deception. Once the user’s identity has been authenticated, they can finalise their registration and electronic identifiers will be associated with their account. These will enable them to connect to the application and carry out procedures on partner teleservices.

This solution for a secure regalian digital identity has raised considerable controversy insofar as it has a facial recognition system. At the same time, no one was equally offended by the development of private digital identities developed by the digital giants, following the example of the GAFAMI (Google, Apple, Facebook, Amazon, Microsoft, IBM) and BATX (Baidu, Alibaba, Tencent, Xiaomi), based on the exploitation of Internet users’ personal data by artificial intelligence (B. Bévière-Boyer, L’identité civile numérique nationale, une priorité en matière de souveraineté et de protection des citoyens, 23 Sept. 2020, Actu-juridique.fr). Facial recognition is already well established in our daily lives, so much so that users are no longer really aware of it, as is the case with the unlocking of their smartphones or the automatic identification of photographs posted on Facebook. Even more seriously, Microsoft has developed a database of faces, without seeking the permission of the people concerned (P. Van Nuffel, Microsoft discreetly takes a database containing ten million faces offline, 8 June 2019, DataNews)!

Facial recognition technology is based on computer vision, a field of artificial intelligence that allows computers to “see” and analyse images automatically. Facial recognition allows an algorithm to extract a template (a signature specific to each face) from a photograph of an individual, which is then compared to :

– either to all the templates stored in a database (facial identification – “1/n” comparison) in order to determine the identity to which it corresponds;
– or to another template presented (facial authentication – “1/1” comparison), in which case the aim is to check whether the template in question corresponds to the person the individual claims to be. The template will then be compared to that of the person.

In the case of Alicem, facial identification is not used, but only facial authentication: the user must demonstrate that he is who he claims to be. For the French “Commission nationale de l’informatique et des libertés” (CNIL), ‘from a strictly mathematical point of view, devices based on the authentication of persons are necessarily more reliable than those aiming to identify persons: a 1/1 comparison is always easier and more reliable than a 1/n comparison’ (Ass. nat., information report on digital identity, No. 3190, 8 July 2020, p. 55).

The CNIL was asked by the Minister of the Interior for an opinion on the draft decree authorising the creation of an automated processing system for issuing a digital identity called “Application for reading the identity of a citizen on the move” (Alicem). In its Deliberation No. 2018-342 of 18 October 2018 on a draft decree authorising the creation of an automated processing operation to authenticate a digital identity by electronic means, the CNIL states that, given its purposes, the processing falls under Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data and on the free movement of such data (RGPD) and the national provisions set out in Law No. 78-17 of 6 January 1978 on information technology, files and freedoms (national law may introduce additional conditions with regard to the processing of biometric data) The CNIL is very critical of Alicem and considers that “the implementation of the planned processing must be subject to the development of alternative solutions to the use of biometrics, as used to verify the accuracy of the identity claimed by the person creating the account, and thus ensure the effective freedom of consent of the persons concerned to the processing of their biometric data at the time of activation of their Alicem account”. According to the CNIL, the Ministry does not propose an alternative to facial recognition to create a high-level digital identity. Moreover, for the Commission, consent to the processing of biometric data cannot be considered as free.

However, contrary to the opinion of the CNIL, Decree No. 2019-452 of 13 May 2019 authorising the creation of an electronic means of identification called “Certified online authentication on mobile” was nevertheless issued by the Council of State to authorise this processing (pursuant to Article 32 of the French Data Protection Act, which states that “processing of personal data implemented on behalf of the State, acting in the exercise of its prerogatives as a public authority, shall be authorised by a decree of the Council of State, taken after a reasoned and published opinion from the “Commission nationale de l’informatique et des libertés”, the processing of personal data implemented on behalf of the State, acting in the exercise of its prerogatives as a public authority, which concerns genetic data or biometric data necessary for the authentication or control of the identity of persons”). Thus, only a facial recognition device can activate the Alicem account.

Based on this observation, the association “La Quadrature du Net” then asked the Council of State to annul the aforementioned Decree No. 2019-452 of 13 May 2019 in a petition sent on 15 July 2019 (A. Fitzjean O Cobhthaigh for La Quadrature du net, petition initiating proceedings). According to the association, the creation of an electronic means of identification requiring the processing of the user’s biometric data at the time of account activation “without the user […] having the choice of another device” would directly affect the exercise of fundamental rights in the digital environment. The decree would violate certain provisions of the RGDP and the Data Protection Act, putting “particularly at risk the right of the persons concerned to respect for their private life”.
Therefore, does the Alicem system allow individuals to freely consent to the processing of their biometric data? Is the use of biometrics necessary for the purpose of the processing?

I – The individual’s freedom of choice
For the Council of State, the individual’s consent to the processing of his or her biometric data is freely given, insofar as he or she is not obliged to use it, being able to use an alternative, through the FranceConnect system, without a facial recognition mechanism.

A – The individual’s free consent
In order to create an Alicem account, users must consent to the processing of their biometric data collected through a facial recognition system. It should be remembered that biometric data are sensitive data and are subject to specific protection. Article 6 of the Data Protection Act (Article 8 at the time of its drafting, applicable to the dispute) prohibits processing using biometric data for the purpose of uniquely identifying a natural person. However, there are exceptions to this principle, which are set out in Article 9 of the RGDP; these include obtaining the explicit consent of the data subject and the public interest. This consent must be the result of a “free, specific, informed and unambiguous” manifestation of will to be valid, within the meaning of Article 4(11) of the RGDP.

It must be emphasised that if the user refuses to carry out facial recognition at the stage of the Alicem account creation procedure, this prevents the creation of the Alicem digital identity. However, the data subject must have real control and choice over whether or not to accept the proposed conditions. Moreover, the data subject must be able to refuse without suffering harm. Indeed, the RGDP indicates in its recital 42 that “consent should not be considered to have been freely given if the data subject does not have a genuine freedom of choice or is not able to refuse or withdraw consent without suffering prejudice”.

For the association “La Quadrature du Net”, the legal basis of consent chosen by the decree does not hold, considering that “it does not in any case result from a manifestation of free, specific, informed and univocal will”. According to her, there is no other way for Alicem users to activate their accounts without using a facial recognition device. The user would therefore have to consent to the processing of his or her biometric data in order to use Alicem.

Is the individual’s consent still free, given that he or she must consent to the processing of biometric data in order to use Alicem? Does the user have genuine freedom of choice? Does he suffer prejudice if he does not consent to the processing of his data in the context of Alicem?

The Council of State considers that the user does not suffer any negative consequences as to the nature of the services accessible if he refuses to give his consent to the facial recognition processing implemented in the Alicem application. Indeed, there is an alternative since the user can access, with a unique identifier, all the public services offered online, in particular through FranceConnect (pt 9).

B – The existence of an alternative
According to the Council of State, ‘it is clear from the documents in the file that the teleservices accessible via the Alicem application were also accessible, on the date of the contested decree, through the FranceConnect system, the use of which does not presuppose consent to facial recognition processing’ (pt 9).
Thus, users could access all the proposed teleservices online without being required to create an Alicem account and therefore without using its facial recognition mechanism. The existence of an alternative, without a facial recognition mechanism, would therefore make it possible to ensure the individual’s free consent. It remains to be seen whether the use of biometrics was necessary for the purpose of the data processing.

II – Biometrics: a system that correlates with the purpose of the processing operation
The Council of State considers that facial recognition offers a high level of guarantee and that the collection of data is adequate and proportionate to the purpose of the processing operation.

A – The adequate level of guarantee offered by facial recognition
The facial recognition system is the whole point of the Alicem application; biometrics making it possible to offer a high level of guarantee within the meaning of the European “eIDAS” Regulation (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC), the ambition of which is to increase trust in electronic transactions (pt 2). Moreover, such a system makes it possible to contribute to the fight against online identity theft (pt 2). Indeed, at the date of the contested decree, there were ‘no other means of authenticating the identity of the user in a completely dematerialised manner with the same level of guarantee as the facial recognition system’ (pt 8).

The Council of State indicates that the use of facial recognition was therefore necessary for the deployment of this system. Indeed, the use of a biometric device authorised by the decree had to be “considered as required by the purpose of this processing” (pt 8).

B – Proportionality of the data collected in relation to the purpose of the processing
The data collection planned for the use of the Alicem application concerns: the identification of the user, the identification of his biometric ticket, the electronic communication terminal equipment he uses and the history of transactions associated with his account. The question arises as to whether the collection of these data is relevant to the purpose of the processing, i.e. the issuing of an electronic means of identification enabling users to identify themselves electronically and authenticate themselves to public or private bodies.
Indeed, the data must be “[…] adequate, relevant and not excessive in relation to the purposes for which they are collected and their further processing” (pt 10) at the time of the dispute, this was Article 6 of the Data Protection Act. This is now provided for in Article 4 of the said law, but this article has been reworded). Thus, “data relevant to the purpose of a processing operation are those which are in line with the purpose of the processing operation and which are proportionate to that purpose” (pt 10).
Therefore, is the use of a facial recognition system proportional to the purpose of the processing? The Council of State answers in the affirmative: ‘in view of their purpose and the purposes of the processing […], the collection of this data must be considered adequate and proportionate to that purpose’ (pt 10). Thus, “La Quadrature du Net”‘s request was rejected.
This principle of proportionality is at the heart of the debate on facial recognition devices. Indeed, the administrative court of Marseille had annulled the deliberation of the regional council of Provence-Alpes-Côte d’Azur which aimed to experiment with facial recognition at the entrance of two high schools in the region (TA Marseille, 27 Feb. 2020, n° 1901249, Association “La Quadrature du Net”, AJDA 2020. 492; AJCT 2020. 439, obs. R. Perray and H. Adda; Dalloz IP/IT 2020. 148, obs. C. Crichton; C. < Rotily and L. Archambault, Biometric data from facial recognition experiments on French territory: a challenge in the light of law 2.0?, Dalloz IP/IT 2020. 54). The administrative judges had followed the position of the CNIL, which considered that this experimentation was “contrary to the fundamental principles of proportionality and minimisation of data stemming from the RGPD” (CNIL, “Expérimentation de la reconnaissance faciale dans deux lycées” : la CNIL précise sa position, 29 Oct. 2019). Thus, the use of this device on students, most of whom are minors, for the sole purpose of facilitating and securing access did not appear necessary or proportionate to achieve these purposes.

Prospects

Faced with the development of these facial recognition devices, the CNIL’s reasoning is based on the question of whether the use of a biometric device is really necessary in view of the objective pursued and whether there is not an alternative device that is less intrusive for the rights and freedoms of individuals. For example, in the case of securing access to high schools, this alternative device could consist of a badge control, and the administrative court followed this reasoning. For the Alicem application, the alternative solutions could consist of a face-to-face visit (to the prefecture or town hall, for example), manual verification of the video and photograph on the permit (sending the video to the ANTS server and verification of identity by an agent) or a live video call with the ANTS; but this reasoning was not followed by the Council of State.