Réf. : CE 9° et 10° ch.-r., 4 novembre 2020, n° 432656, inédit au recueil Lebon (N° Lexbase : A516433N)
Lecture: 4 min
N5220BYY
Citer l'article
Créer un lien vers ce contenu
par Marie-Lou Hardouin-Ayrinhac
le 10 Novembre 2020
► Le Conseil d’État rejette la requête de l'association « la Quadrature du net » qui demandait l'annulation pour excès de pouvoir du décret n° 2019-452 du 13 mai 2019, autorisant la création d'un moyen d'identification électronique dénommé « Authentification en ligne certifiée sur mobile » (Alicem) (N° Lexbase : L2923LQC), une application pour smartphone conçue par l'État qui utilise la reconnaissance faciale à l'inscription.
Faits et procédure. L'association « La Quadrature du net » demande au Conseil d'État d'annuler pour excès de pouvoir le décret n° 2019-452 du 13 mai 2019, mettant en place l'application « Alicem », qui constitue un traitement automatisé de données à caractère personnel.
Reconnaissance faciale. L’application « Alicem » doit permettre aux internautes de s'identifier avec fiabilité dans leurs démarches en ligne. Pour en bénéficier, l'internaute est obligé de passer par une phase de reconnaissance faciale : lors de son inscription, l'application compare son visage avec la photo de son passeport ou de son titre de séjour, pour vérifier qu'il est bien celui qu'il prétend être.
Décision. Après avoir validé la légalité externe du décret attaqué, le Conseil d’État valide sa légalité interne.
Recours au traitement de données biométriques exigé par la finalité du traitement. Il ne ressort pas des pièces du dossier que, pour la création d'identifiants électroniques, il existait à la date du décret attaqué d'autres moyens d'authentifier l'identité de l'usager de manière entièrement dématérialisée en présentant le même niveau de garantie que le système de reconnaissance faciale. Le Conseil d’État en déduit que le recours au traitement de données biométriques autorisé par le décret attaqué doit être regardé comme exigé par la finalité de ce traitement.
Consentement libre des utilisateurs. Il ressort des pièces du dossier que les téléservices accessibles via l'application « Alicem » l'étaient également, à la date du décret attaqué, à travers le dispositif « FranceConnect », un autre service public d’identification en ligne, dont l'utilisation ne présuppose pas le consentement à un traitement de reconnaissance faciale. Dès lors que les usagers qui ne consentiraient pas au traitement prévu dans le cadre de la création d'un compte « Alicem » peuvent accéder en ligne, grâce à un identifiant unique, à l'ensemble des téléservices proposés, ils ne sauraient être regardés comme subissant un préjudice au sens du « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I). Le Conseil d’État retient que l'association requérante n'est pas fondée à soutenir que le consentement des utilisateurs de l'application « Alicem » ne serait pas librement recueilli ni, par suite, que le décret attaqué méconnaîtrait pour ce motif les dispositions du « RGPD » et de la loi n° 78-17 du 6 janvier 1978, relative à l’informatique, aux fichiers et aux libertés (N° Lexbase : L8794AGS).
Recueil de données adéquat et proportionné à la finalité. Pour l'application de l'article 6 de la loi du 6 janvier 1978, les données pertinentes au regard de la finalité d'un traitement sont celles qui sont en adéquation avec la finalité du traitement et qui sont proportionnées à cette finalité. En vertu de l'article 7 du décret attaqué est prévue la collecte de données relatives, en premier lieu, à l'identification de l'usager, en deuxième lieu à l'identification de son titre biométrique, en troisième lieu à l'équipement terminal de communications électroniques qu'il utilise et, enfin, à l'historique des transactions associées à son compte, ces dernières données ne pouvant être communiquées aux fournisseurs de téléservices en vertu de l'article 9. Eu égard à leur objet et aux finalités du traitement, le Conseil d’État considère que le recueil de ces données doit être regardé comme adéquat et proportionné à cette finalité.
Solution. Le Conseil d’État conclut qu’il résulte de tout ce qui précède, sans qu'il soit besoin de poser des questions préjudicielles à la Cour de justice de l'Union européenne, que la requête de La Quadrature du net doit être rejetée, y compris ses conclusions présentées au titre de l'article L. 761-1 du Code de justice administrative (N° Lexbase : L3227AL4).
© Reproduction interdite, sauf autorisation écrite préalable
newsid:475220