Le dimanche 30 octobre, alors que les français profitaient de leur weekend de la Toussaint, le Gouvernement a discrètement publié au Journal Officiel un décret permettant la création d’un système de traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité. L’idée de ce fameux décret est de créer une base de données centralisée qui regrouperait les informations biométriques de la plupart des français. Ce fichier informatique a été baptisé Titres Électroniques Sécurisés, plus communément désigné sous l’acronyme TES. Ce fichier est déjà actif car il n’est que l’extension du fichier TES précédent créé pour le traitement de données personnelles relatif aux passeports, auquel a été ajouté le fichier préexistant également pour les cartes nationales d’identité.

Le fichier est prévu pour chaque citoyen titulaire d’un passeport ou de la carte nationale d’identité, il concerne aussi bien les personnes majeures que les personnes mineures âgées d’au moins douze ans. Il contient des informations principales telles que le nom de famille, le nom d’usage, les prénoms, la date et le lieu de naissance, le sexe, la couleur des yeux, la taille, l’image numérisée du visage ainsi que l’image numérisée des empreintes digitales et de la signature du demandeur. Il peut contenir diverses autres informations en fonction de la situation de la personne. Il est également précisé que ces données pourront être conservées pour une durée de quinze ans s’agissant des données relatives au passeport, et vingt ans pour celles relatives à la carte nationale d’identité. Mais concernant les mineurs, la durée de conservation de ces données est réduite de cinq ans pour chaque document d’identité.

Le Gouvernement, et notamment Bernard Cazeneuve, a assuré que le fichier TES est né de la volonté de mettre en place une authentification automatisée afin de lutter contre les fraudes sur les passeports et les cartes nationales d’identité. Cependant, les données dudit fichier sont assimilables à des données administratives, elles pourront alors être réquisitionnées pour des besoins judiciaires en vue d’une identification administrative si un juge en fait la demande.

Des données sensibles contenues dans un fichier trop accessible

Le décret défini une liste limitative qui comprend principalement les services de gendarmerie, de police et de douanes dans le cadre de leurs missions. Mais l’accès s’étend également aux agents des services centraux des ministères de l’intérieur et des affaires étrangères, ainsi qu’aux agents des services de renseignement, ou encore aux préfectures et aux sous-préfectures. Toutefois, de manière exceptionnelle et limitée, le décret prévoit la communication des données personnelles dans certaines situations à Interpol. Et il prévoit aussi une communication des données, mis à part la photo numérisée et les empreintes digitales, aux États membres de l’espace Schengen afin de vérifier la légitimité d’un signalement effectué pour un titre perdu, volé ou invalidé.

D’un point de vue strictement juridique, la création de ce fichier par le Gouvernement est tout à fait possible sur la base de  l’article 27-l-2° de la loi « Informatique et Libertés » du 6 janvier 1978, mais d’un point de vue politique cela constitue une atteinte à la démocratie. Comment un fichier d’une telle ampleur peut-il être créé sans aucun débat public alors qu’il concerne l’ensemble de la société française ?

Dès lors ce qui est principalement reproché c’est la manière utilisée par le ministre de l’intérieur pour créer un fichier regroupant des données si sensibles. Le fait de créer un tel fichier par la voie réglementaire plutôt que par la voie législative n’a pas permis de soumettre le texte à un débat public devant le Parlement, ce qui suscite des inquiétudes quant à la finalité du fichier TES. Paradoxalement, un fichier similaire était déjà souhaité par le Gouvernement Fillon, ce qui avait été vivement critiqué par les opposants socialistes actuellement au Gouvernement. D’ailleurs, ce projet de loi sur l’identification fut censuré en 2012 par le Conseil constitutionnel, qui s’était également opposé à ce que soit mise en place l’option d’une puce électronique de e-commerce permettant de s’authentifier en ligne. Le Conseil constitutionnel jugeait que « l’atteinte au respect de la vie privée – constituée par l’ampleur du traitement de données et les possibilités de consultation du fichier – ne pouvait être regardée comme proportionnée au but poursuivi ».

La crainte d’une fuite des données personnelles

Pourtant la Commission Nationale de l’Informatique et des Libertés (CNIL), a émis des réserves à propos de la création d’un tel fichier. Bien qu’il existait déjà un fichier spécifique aux passeports regroupant des données de 15 millions de citoyens français, le changement opéré avec le fichier TES est à la fois un changement d’ampleur puisque ce dernier doit concerner 60 millions de personnes, et à la fois un changement de nature dans la mesure où un nombre infiniment plus important de données sera récupéré. C’est un changement notable puisque les données personnelles contenues dans le fichier TES pourront être consultées par un certain nombre de personnes, posant la question essentielle de la sécurisation d’une telle base de données.

La CNIL craint un système de sécurité pouvant être contourné, ce qui laisserait l’ensemble des données personnelles contenues dans le fichier aux mains de personnes mal intentionnées. Dès lors, elle propose une solution alternative qui semble plus raisonnable, à savoir équiper les cartes nationales d’identité d’une puce électronique. Un dispositif qui permettrait à la fois de lutter contre les fraudes de ces documents et de limiter les possibilités de détourner les données personnelles qui y sont attachées. Effectivement, on peut saluer la proposition de la CNIL qui préconise la conservation des données sur un support individuel, présentant l’avantage d’appartenir exclusivement à la personne concernée et donc de réduire les risques d’une utilisation frauduleuse.

Toutefois, le Gouvernement a préféré centralisé toutes ces données au sein d’un fichier informatique, ne laissant plus les citoyens maitres de leurs données personnelles et les exposant à des risques d’une atteinte à la sécurité du fichier par des cyberattaques. Il apparait plus simple de détourner un ensemble de données regroupées dans un même fichier, malgré le système de sécurité mis en place, plutôt que de détourner des dizaines de millions de données « éparpillées ». Il semble évident que malgré un haut niveau de sécurité, chaque système informatique connait des failles pouvant être exploitées, permettant ainsi d’accéder aux données qu’il est censé protéger. En effet, ce risque est réel car en juillet 2015, un organisme du gouvernement américain a été victime d’une cyberattaque engendrant la fuite des données de plus de 20 millions d’américains, dont des données relatives aux empreintes digitales. Pourtant malgré la réalité de ces risques, le Gouvernement a opté pour une solution de centralisation des données au sein d’un fichier unique, et malheureusement il existe des risques de dérives politiques tout aussi inquiétants.

Un fichier exposé à la versatilité politique

La CNIL a relevé que les données contenues dans le fichier TES, notamment les données biométriques, permettent d’identifier à tout moment la personne concernée à travers ses caractéristiques biologiques puisqu’elles sont immuables. Le danger de ce genre de données est qu’elles peuvent facilement correspondre à des « traces physiques laissées involontairement par la personne ou collectées à son insu », selon l’analyse livrée par l’autorité nationale de contrôle. Dès lors, leur protection doit être maximale afin d’éviter les détournements à des fins malveillantes.

On peut se poser la question de l’utilisation de telles données par un gouvernement futur qui n’aurait pas les mêmes motivations que le Gouvernement actuel. Nous sommes entrés dans une époque où le terrorisme pousse les dirigeants étatiques à vouloir surprotéger leur territoire et leurs citoyens, au risque de prendre des décisions qui pourraient finalement les faire basculer vers un régime trop autoritaire. Avec un tel outil de fichage, un gouvernement pourrait très bien créer un algorithme pour utiliser les données mises à sa disposition afin d’identifier des catégories d’individus grâce à la reconnaissance faciale automatisée par exemple. Ce qui donnerait un pouvoir considérable aux autorités de police et qui porterait gravement atteinte au principe fondamental du respect à la vie privée des français. Une hypothèse soulevée par le sénateur Gaëtan Gorce, commissaire de la CNIL, qui s’inquiète d’une telle utilisation guidée par le sentiment de terreur des attentats ayant touché notre pays.

Alors certes, l’idée de Bernard Cazeneuve de créer une base de données visant à faciliter l’administration des passeports et des cartes nationale d’identité, tout en permettant l’authentification de leur titulaire, s’avère compréhensible. Cependant, le Conseil national du numérique (CNNum) s’inquiète également de la création d’un tel fichier, rappelant que la création de ce genre de fichiers a souvent entrainé un élargissement de leurs finalités initiales. De ce fait, la commission indépendante est convaincue qu’une extension du fichier TES interviendra, la seule question restant en suspens étant de savoir à quel moment. Ladite commission rappelle que malgré un encadrement légal, cela a été le cas pour le système Eurodac relatif aux demandes d’asile et mis en place par l’Union Européenne en 2003.

Le ministre de l’intérieur continue de défendre son idée et a maintenu la création de ce fichier géant, en dépit des craintes prononcées par la CNIL, par le Parlement, par le CNNum, et même par Axelle Lemaire, secrétaire d’État chargée du numérique et de l’innovation. Un recours devant le Conseil d’État a été formé pour contester la création du fichier TES par les Exégètes Amateur, expression de l’ancien député Jean-Jacques Urvoas désignant les juristes et bénévoles qui formulent régulièrement des recours en justice contre des textes législatifs et règlementaires susceptibles de porter atteinte aux libertés fondamentales des français. Parmi ces opposants, on peut notamment citer la Quadrature du Net, la fédération de fournisseurs d’accès à internet associatifs FFDN et l’opérateur French Data Network.

Cependant, juridiquement le pouvoir exécutif n’est pas obligé de solliciter de façon systématique l’avis du Conseil national du numérique à propos de ce genre de textes. Or, la commission a décidé de s’autosaisir sur cette question afin d’examiner des alternatives techniques plus modernes et respectueuses des droits et libertés et appelle le Gouvernement à suspendre la mise œuvre du fichier TES. Il convient de rappeler que le Gouvernement n’est pas contraint de suivre les avis et recommandations du CNNum puisque ce ne sont pas des actes juridiques contraignants.

Un décret maintenu malgré les controverses

Il est question d’apporter des modifications au décret du 30 octobre, Bernard Cazeneuve ayant admis que des aménagements sont nécessaires sur la vérification de la sécurité du fichier et sur le versement des empreintes digitales des citoyens au sein dudit fichier. Afin de confirmer la fiabilité et la sécurité du fichier géant, le ministre de l’intérieur a annoncé qu’il y aura un audit de l’Agence nationale de la sécurité des systèmes d’information (ANSSI), dont les résultats seront rendus publics et considérés comme des avis conformes. Ainsi, le Gouvernement s’engage à suivre les conclusions transmises par ladite agence.

Concernant le débat du versement des empreintes digitales des citoyens français dans la base de données, Bernard Cazeneuve se veut rassurant. Le ministre de l’intérieur a indiqué que les personnes ne souhaitant pas que leurs empreintes soient recueillies pourront s’y opposer. Or, le décret prévoit de manière obligatoire le recueil des empreintes des demandeurs de carte nationale d’identité dans la mesure où l’article 15 du texte énonce qu’il « est procédé au recueil des empreintes digitales à plat de chacun des index du demandeur ».

Ainsi, Monsieur Cazeneuve entend procéder à des modifications du décret sur ces points précis seulement. Pour ce faire, il envisage une simple instruction du décret, ce qui pose des questions sur l’efficacité des modifications qui seront apportées. Le choix de prendre un nouveau décret qui modifierait le texte actuellement en vigueur semble pourtant plus efficace. Or, le choix du Gouvernement permet d’éviter au texte d’être soumis à un éventuel examen par le Conseil d’État et par la CNIL, et dès lors on comprend que le Gouvernement ne veut pas prendre le risque d’un débat sur ce fameux texte déjà si décrié.

Il apparait donc que le Gouvernement ne suspendra pas la création de ce fichier malgré les nombreuses réticences émises. Il semble convaincu que c’est la meilleure solution et qu’elle offre les garanties de sécurité nécessaires face aux menaces terroristes dont la France, et plus généralement l’Europe, fait l’objet. Un climat de terreur actuel qui fait échos en Grande-Bretagne puisque le Parlement britannique a voté le 17 novembre une nouvelle loi sur le renseignement, dénommé « Investigatory Powers Act ». Une loi qualifiée de « surveillance la plus extrême de l’histoire des démocraties occidentales » par Edward Snowden.

Sources :

LAUSSON (J.), « L’identité biométrique de 60 millions de Français réunie dans un seul fichier », numerama.com, mis en ligne le 31 octobre 2016, consulté le 20 novembre 2016, <http://www.numerama.com/politique/205426-lidentite-biometrique-de-60-millions-de-francais-reunie-dans-un-seul-fichier.html>

REES (M.), « Au Journal officiel, un fichier biométrique de 60 millions de ” gens honnêtes” », nextinpact.com, mis en ligne le 31 octobre 2016, consulté le 20 novembre 2016, <        http://www.nextinpact.com/news/101945-au-journal-officiel-fichier-biometrique-60-millions-gens-honnetes.htm?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=social>

LAUSSON (J.), « Fichier biométrique : le Conseil national du numérique réagit », numerama.com, mis en ligne le 4 novembre 2016, consulté le 20 novembre 2016, <http://www.numerama.com/politique/206477-fichier-biometrique-le-conseil-national-du-numerique-reagit.html?utm_content=buffer35c55&utm_medium=social&utm_source=twitter.com&utm_campaign=buffer>

REES (M.), « La réponse de Bernard Cazeneuve au Conseil national du numérique, ligne par ligne », nextinpact.com, mis en ligne le 8 novembre 2016, consulté le 20 novembre 2016, <http://www.nextinpact.com/news/102044-la-reponse-bernard-cazeneuve-au-conseil-national-numerique-ligne-par-ligne.htm?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=social>

LAUSSON (J.), « Le décret du fichier biométrique TES attaqué en justice », numerama.com, mis en ligne le 9 novembre 2016, consulté le 20 novembre 2016, <http://www.numerama.com/politique/207252-le-decret-du-fichier-biometrique-tes-attaque-en-justice.html>

REES (M.), « Fichier TES : une simple instruction pour arrondir le décret ? », nextinpact.com, mis en ligne le 14 novembre 2016, consulté le 20 novembre 2016, <http://www.nextinpact.com/news/102122-fichier-tes-simple-instruction-pour-arrondir-decret.htm?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=social>

REES (M.), « Fichier TES : des concessions rabotées, des doutes, des regrets et l’épine Amesys », nextinpact.com, mis en ligne le 15 novembre 2016, consulté le 20 novembre 2016, <http://www.nextinpact.com/news/102079-fichier-tes-concessions-rabotees-doutes-regrets-et-epine-amesys.htm?utm_source=dlvr.it&utm_medium=twitter&utm_campaign=social>

[ANONYME], « Surveillance : ce que contient la nouvelle loi sur le renseignement britannique », lemonde.fr, mis en ligne le 21 novembre 2016, consulté le 24 novembre 2016, <http://www.lemonde.fr/pixels/article/2016/11/21/surveillance-ce-que-contient-la-nouvelle-loi-sur-le-renseignement-britannique_5035373_4408996.html?utm_medium=Social&utm_campaign=Echobox&utm_source=Twitter&utm_term=Autofeed#link_time=1479745555>