Les enjeux de la protection des données à caractère personnel avec la carte nationale d’identité électronique

Un décret datant du 13 mars 2021 est venu modifier des décrets antérieurs n° 55-1397 du 22 octobre 1955 instituant la carte nationale d’identité et le décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. Celui-ci permet la mise en œuvre du règlement (UE) 2019/1157 du Parlement européen et du Conseil du 20 juin 2019 relatif au renforcement de la sécurité des cartes d’identité des citoyens de l’Union et des documents de séjour délivrés aux citoyens de l’Union et aux membres de leur famille exerçant leur droit à la libre circulation. C’est ce règlement qui institue la carte nationale d’identité électronique (CNIe) sur le territoire de l’hexagone.

La CNIe, une volonté européenne

Le règlement rentrera en application le 2 aout prochain. Il impose aux états membres de mettre en circulation ces nouvelles cartes d’identité. Après cette date, aucune ancienne carte ne pourra être délivrée sur le territoire national. L’objectif de cette réglementation est de consolider la sécurité des titres d’identité afin de lutter contre l’usurpation d’identité, l’usage, production de faux papiers et plus particulièrement le terrorisme. À partir de 2031 que ce nouveau titre se généralisera et on ne pourra plus voyager en Europe avec les anciennes cartes. Ce projet a été suivi par l’annonce du projet européen de « portefeuille européen » dont la CNIe sera un outil. En effet, le 3 juin, la Commission européenne a fait une proposition de portefeuille européen concernant l’identité numérique. Ce portefeuille permettra aux citoyens et aux entreprises européennes de faciliter tous les actes quotidiens de la vie de prouver son identité comme ouvrir un compte bancaire dans un autre pays, en passant par la location de voiture. Des documents pourront y être déposés comme le permis de conduire, les diplômes ou le compte en banque. De plus, des services publics et privés en ligne sans identifications privées. L’institution européenne affirme que ce système permettra aux citoyens européens de contrôler les données qu’il mettra à disposition des tiers via le portefeuille européen numérique. À terme, les services publics devraient avoir recours à cet outil pour faciliter l’accès et l’usage de ces derniers. À terme, les services publics devraient avoir recours à cet outil pour faciliter l’accès et l’usage de ces derniers.

La question de sécurité de nos données se pose encore pour la CNIe ; nul doute que le portefeuille européen pose autant d’interrogations à ce sujet.

 

Ce qui change avec la CNIe

Tout d’abord, ce titre comportera une image numérisée du visage de son titulaire et deux empreintes digitales. Son format sera celui d’une carte bancaire pour plus de praticité, et différents éléments permettront de vérifier son authenticité. La validité du titre change aussi est celui est ramené à 10 ans au lieu de 15. Ce délai tient compte du renforcement de la sécurité des titres d’identité comme le veut le projet. Les éléments d’état-civil classiques comme le nom, prénom, date et lieu de naissance… Eux apparaissent toujours. Le plus gros changement est l’insertion d’un cachet électronique visuel signé par l’état prenant la forme d’un QR code. C’est ce cachet qui va permettre en scannant le QR code de vérifier l’authenticité de la carte et de ses données. Mais ces données sensibles, personnelles comment sont elles protégées ? La puce est elle fiable ? Nos photos et nos empreintes pourraient, elles être piraté ? Ou nos données sont elles stockées ? Et si cette carte devient obligatoire en 2031 comment s’assurer de la fiabilité de la sécurité de cette carte ?  

Le fichier TES est l’endroit où nos données donc nos photos et nos empreintes seront stockées. Mais qu’est-ce que le fichier TES  ? C’est le fichier des titres électronique sécurisés (TES) celui-ci est à la charge du ministère de l’Intérieur. Il a été crée par un décret du 28 octobre 2016, et détient déjà les données qui ont permis la délivrance des passeports biométriques. Dans un premier temps, c’est la CNIL qui a émis un avis sur ce fichier le 29 septembre 2016 qui avait établi le constat que d’une part qu’il aurait été souhaitable de passer par le pouvoir législatif pour mettre en place un tel dispositif. Et d’autre part, l’institution avait pointé du doigt l’insuffisance des évaluations et expertises corrélatives au caractère sensible des données traitées. De plus, le 17 janvier 2017 l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) ont rendu un rapport d’audit de sécurité du système « Titres Électronique Sécurisés » (TES) au ministère de l’Intérieur. Et La CNIL constate donc une grande convergence d’opinion sur le fichier mis en cause. 

En ce qui concerne la CNIe, la Commission nationale de l’informatique et des libertés a été consultée à son sujet et a émis des recommandations et notamment fait part de ses craintes au sujet du stockage et de la sécurisation des données personnelle

 

L’avis de la CNIL

C’est donc le 11 février 2021 que  la Commission nationale de l’informatique et des libertés (Cnil) a publié une délibération au sujet de la CNIe. Dans un premier temps, elle constate que ses recommandations sur le fichier TES n’ont pas été prises en compte sur ce point. Elle invite donc “à cet égard, le ministère ainsi que l’Agence nationale des titres sécurisés (ANTS) à poursuivre leurs travaux afin d’étudier la possibilité, en particulier, de conserver la photographie des empreintes digitales sous la forme d’un gabarit.” Par ailleurs, dans cet avis, la CNIL alertait déjà sur le dépassement des usages régaliens de cette carte en évoquant le projet service d’identité numérique. Elle encourage ce genre d’initiative en n’oubliant pas de rappeler qu’il faut travailler sur l’inclusion numérique de tous les citoyens et mettre en place des systèmes qui permettrait de ne pas lire toutes les informations de la carte pour chaque service, mais qui seront nécessaires. Entre autres, le projet permet d’étendre la transmission de ce fichier aux logiciels de rédactions de police et gendarmerie nationale pour les déclarations de vol de titre. Mais cela implique que le recueil des empreintes digitales soit obligatoire lors de ces procédures. C’est pour cela la CNIL rappelle que ces procédures doivent être strictement sectorisées à l’usurpation d’identité en lien avec l’usage frauduleux de documents d’identité. Et que l’accès au traitement de ces données ne puisse se faire que par l’identité du porteur du titre. Sur un autre point essentiel, celui de la durée de conservation des empreintes digitales, elle constate que dans d’autres pays européens, comme la Belgique et l’Allemagne testant des dispositifs comparable à la CNIe, la durée de conservation de ces données biométriques ne dépassait pas les 90 jours prévus par le règlement européens. Alors que la France prévoit une conservation de 15 ans. Mais le règlement nous dit que la conservation peut s’étendre jusqu’à la validité du titre. Il précise aussi que le citoyen a le choix de refuser une conservation plus longue que 90 jours, que son accès à la procédure de demande doit être facilitée et que la procédure de suppression doit être effective.  

Pour finir, d’autres points sont évoqués dans cet avis notamment que certaines de ces recommandations essentielles antérieures n’ont pas été mises en place :

“- la recommandation 1 conseille non seulement de chiffrer les données biométriques en base, ce qui a été mis en œuvre par le ministère, mais aussi de confier les moyens de déchiffrement à un tiers de sorte que ni le ministère ni l’autorité tierce ne puisse, seule, avoir les moyens de déchiffrer les données pour répondre aux réquisitions judiciaires. Cette seconde partie de la recommandation ne semble ni mise en œuvre par le ministère à ce stade ni prévue dans le plan d’action. Cette recommandation permet à la fois de relever le niveau de sécurité des données et de protection de la vie privée, ainsi que de limiter le risque que le traitement soit transformé en une base d’identification des individus. Compte tenu de ces éléments, la Commission estime nécessaire qu’une telle mesure, par ailleurs recommandée par l’ANSSI, soit mise en œuvre ;

 la recommandation 4 prévoit de relever le niveau d’exigence en sécurité des contrats de prestation. Sa mise en œuvre devant être intégrée lors du renouvellement du marché, la Commission comprend que celle-ci est prévue dans le plan d’action du ministère.

Pour en finir, les institutions de protection de nos données jouent un rôle essentiel face à ce projet qui brasse un nombre incalculable de traitement de nos données. Leurs avis et recommandations seront ils pris en compte et appliqués ? La question se pose encore, alors même que la date de mise en place du dispositif de CNIe sur le territoire national n’est plus qu’à quelques semaines de débuter.

 

SOURCES :

https://www-numerama-com.cdn.ampproject.org/c/s/www.numerama.com/politique/696832-la-france-sapprete-a-lancer-la-carte-nationale-didentite-electronique.html/amp?fbclid=IwAR3MEhuLu47qoW8pA7KSgLCxmEJMO_5scd1iG-ar8hKkqqCpBjYH8XJiFdk

https://www.numerama.com/politique/697960-tout-savoir-sur-la-carte-nationale-didentite-electronique-cnie.html#utm_medium=distibuted&utm_source=amp&utm_campaign=696832

https://www.numerama.com/politique/697227-quel-calendrier-pour-la-carte-nationale-didentite-electronique.html

https://www.legifrance.gouv.fr/jorf/id/JORFTEXT000043247199

https://www.ecinews.fr/news/la-carte-nationale-didentite-electronique-arrive-enfin-en-franceps://www.rtl.fr/actu/sciences-tech/l-ue-veut-mettre-en-place-un-portefeuille-numerique-securise-base-sur-une-identite-europeenne-7900040096

https://ec.europa.eu/info/strategy/priorities-2019-2024/europe-fit-digital-age/european-digital-identity_en#documents

https://www.cnil.fr/fr/rapport-anssi-dinsic-sur-le-fichier-tes-une-forte-convergence-avec-lavis-de-la-cnil