FranceConnect a été développé pour simplifier notre vie administrative. Mais aujourd'hui, ce dispositif est envisagé comme moyen de contrôler l’accès aux sites pornographiques. Un glissement qui soulève des inquiétudes.
Un amendement à la proposition de loi sur les violence conjugales a été adopté par le Sénat mercredi 10 juin sans faire de remous. Il stipule que pour aller sur un site X, les internautes devront désormais justifier leur âge. Et si les sites ne se plient pas à cette règle, ils pourront être bloqués par le CSA. Protéger les mineurs des contenus pornographiques était l’une des promesses d’Emmanuel Macron. Oui, mais comment mettre ce contrôle en place ? Le texte suggère deux possibilités : l’utilisation de la carte bancaire ou de FranceConnect. Vous savez, cet outil d’identification qui vous sert aujourd’hui à payer vos impôts, déclarer une naissance, simuler vos droits sociaux... et accéder à des centaines d’autres démarches administratives, mais aussi à certaines banques et assurances en ligne.
Alors s'imaginer se connecter à Jacquie et Michel ou Pornhub avec le login qui sert à payer ses impôts à de quoi faire sourire... dans le meilleur des cas. Parce que la démarche soulève aussi quelques inquiétudes.
L’État s’invite dans notre vie privée
L’annonce a notamment fait bondir Ludovic Broyer, fondateur d’Iprotego, une société spécialiste de l’e-réputation. Pour lui l’État fait une « irruption dans nos vies privées » et menace nos libertés en exerçant un contrôle sur notre vie en ligne. « L’identité numérique ne peut pas être confiée à un État qui est à la fois juge et partie, estime-t-il. Obliger les internautes à utiliser FranceConnect pour se connecter à un site pornographique est un moyen de rendre ce dispositif obligatoire. En matière de contrôle du Web, la France est en train de se rapprocher de la Chine », s'alarme le chef d’entreprise.
Olivier Blazy, maître de conférences en informatique, s’interroge également dans les colonnes de 20 minutes. « L’utilisation de FranceConnect est problématique car l’État aura l’information que vous vous êtes connecté à tel ou tel site et pourra ainsi avoir des informations – par exemple votre orientation sexuelle, ce qui est contraire à l’article 9 du RGPD. » Rappelons toutefois qu'en principe, seul l’utilisateur a accès à ses traces de connexion FranceConnect.
Des données sensibles qui pourraient fuiter
Et que penser de la possibilité de voir ces données mêlant vie administrative et vie intime hackées par des personnes mal intentionnées ? « FranceConnect est conçu pour enregistrer les logs (historiques) et autres traces, qui, s’ils sont pseudonymisés et conservés raisonnablement, sont tout de même susceptibles de donner lieu à des situations intrusives, estime Thomas Menant, associé NumeriCité et juriste spécialiste du droit numérique. Ces données étaient déjà "sensibles", l'extension du périmètre vers les activités relevant de la vie privée vient renforcer cette sensibilité. »
Pourtant, lors de l’élaboration de FranceConnect, l’équipe en charge de son développement dont faisait partie Thomas Menant s’était efforcée de convaincre les décideurs politiques que ce dispositif ne devait justement pas servir à contrôler l’accès aux sites pornographiques. « Ce mélange des genres, vie administrative / vie privée nous semblait et me semble toujours inacceptable, juge Thomas Menant. FranceConnect doit répondre à deux problématiques : une de l’usager qui voit ses comptes en ligne se multiplier, l’autre de l’administration qui souvent n’a que peu d’informations fiables sur la personne qui se connecte. Le contexte d'usage porno n'a clairement rien à voir avec la simplification administrative », explique-t-il.
Un outil détourné de son usage d’origine
Marie Alauzen, sociologue spécialiste de ce dispositif, raconte les constants efforts de ses concepteurs pour déployer une pédagogie vis-à-vis du personnel politique, enclin à utiliser le bouton pour tout et n’importe quoi : identifier les fraudeurs, créer un portail unique de l’administration en ligne, mettre fin à l’anonymat en ligne à chaque cas de cyberharcèlement…
La sociologue rassure et explique que l’architecture technique et juridique de l’application, validée par la CNIL, permet d’éviter que FranceConnect ne devienne un outil de surveillance numérique. « Il n’y a pas d’identifiant unique, les historiques ne sont pas conservés longtemps, le contenu des échanges de données n’est pas enregistré », explique-t-elle. Même si techniquement l’application est en mesure de déterminer si un utilisateur souhaitant accéder à un contenu pornographique est majeur, cet usage pose, selon la sociologue, un problème de droit. Pornhub et les autres sites pornographiques deviendraient destinataires de données validées par le RNIPP (le Répertoire national d’identification des personnes physiques, outil de vérification de l’état civil des personnes nées en France). « Et ça, c’est, en l’état, interdit par la convention avec la CNIL », affirme Marie Alauzen.
France Connect pour se connecter à Doctolib et Airbnb ?
Ce cadre légal pourrait toutefois être en train de changer. Car depuis le 11 mai, une expérimentation encadrée par la CNIL permet à des sociétés privées d’utiliser FranceConnect comme moyen d’identification (et donc de devenir destinataire de données du RNIPP). Cette expérimentation est ouverte à des sites de réservation de consultation médicale comme Doctolib, de location de biens immobiliers comme Airbnb, de transport de personnes comme Blablacar… Le but affiché de cette démarche est d’apporter plus de confiance aux utilisateurs. Cela signifierait que pour se connecter à ces services, vous ne serez plus “Mimidu76”, mais Michel Delanoix, soit votre véritable identité. Donc la garantie, selon l’État, que vous êtes une personne de confiance.
La preuve que les politiques ne comprennent pas grand chose au Web
Outre le problème légal évoqué plus haut, utiliser une identité commune pour payer ses impôts, regarder du porno, louer un appartement, prendre rendez-vous chez le médecin... pose un problème d’usage. « À aucun moment, les utilisateurs ne seront prêts à utiliser leurs identifiants des impôts pour se connecter à un site porno, cela n’a aucun sens et risquerait de détruire la relation de confiance que l’État s’efforce de construire avec les usagers des services publics en ligne », juge Marie Alauzen. « Sur le Web, nous avons tous une pluralité d’identités. Vous n’êtes pas forcément la même personne sur LinkedIn et Twitter, par exemple. Ce texte montre que le personnel politique n’a pas une bonne compréhension de ces usages. »
Par ailleurs, le contrôle de l’accès aux sites pornos pourrait facilement être détourné via l’utilisation d’un VPN, un réseau privé virtuel qui permettrait à un utilisateur de se faire passer pour un internaute hors de France.
En toile de fond : la bataille de l’État contre les GAFAM
Derrière le développement de FranceConnect, il y a surtout un enjeu de souveraineté numérique. L’État cherche à favoriser la connexion aux services numériques via France Connect plutôt que via un compte Google ou Facebook. « Depuis plusieurs années, il y a l’idée, dans les administrations centrales, que les GAFAM sont les ennemis dont il faut protéger la population parce qu’ils détiennent leurs données, explique Marie Alauzen. L’État veut reconquérir le territoire numérique aujourd’hui occupé par les géants du web en mettant en avant le RGPD, le cadre de droits… Choses que n’ont pas les GAFAM.»
Mais rendre l’usage de FranceConnect obligatoire pour accéder aux sites pornographiques pourrait au contraire rendre cet outil très impopulaire… voire freiner son utilisation. Notons qu’au Royaume-Uni un système similaire de contrôle d’accès aux sites pornographiques a finalement été abandonné après deux années de polémiques et de cafouillages techniques.
Une identité numérique pour les gouverner tous, une identité numérique pour les trouver, une identité numérique pour les amener tous et dans les ténèbres les lier.
Pardon mais un amendement ne stipule toujours pas, un amendement dispose (ce sont les contrats qui stipulent)