D’évidence, il fallait faire au plus vite à l’approche des échéances électorales… D’abord testé dans les Yvelines et en Bretagne, le système TES (Titres électroniques sécurisés) a été déployé cette semaine à Paris, puis dans le Val-d’Oise, et ce jeudi dans les Hauts-de-Seine. Au 28 mars, il aura été généralisé à toute la France métropolitaine. De quoi s’agit-il ? Rien de moins qu’un «mégafichier», comme il a vite été surnommé, qui doit regrouper à terme les données personnelles de quelque 60 millions de Français : données d’état civil, noms et prénoms des parents, adresse, couleur des yeux, taille. Et surtout des données biométriques, photo du visage et empreintes digitales, désormais stockées sous forme numérisée dans une base centralisée.

À lire aussi Le «mégafichier» étendu au pas de charge

Depuis qu’un décret pris le 28 octobre et publié en plein week-end de la Toussaint a étendu TES – qui concernait déjà, depuis 2008, les 15 millions de citoyens français munis d’un passeport – à l’ensemble des titulaires de la carte d’identité (CNI), soit la quasi-totalité de la population française, les inquiétudes se sont multipliées. Le 2 novembre, Isabelle Falque-Pierrotin, la présidente de la Commission nationale de l’informatique et des libertés (Cnil), alertait dans un entretien à l’AFP sur la nécessité d’«une décision collective sur un sujet aussi sensible, non seulement par son contenu mais par son existence même».

Sonnette d’alarme

Des parlementaires ont exprimé leurs craintes. Au sein de l’ENS Cachan ou de l’université Paris 6, des scientifiques ont tiré la sonnette d’alarme. Dans nos colonnes, des personnalités de la société civile ont signé des tribunes appelant à la suspension ou au retrait du décret. Le Conseil national du numérique (CNNum) a lui aussi demandé la suspension du texte, et organisé une consultation en ligne pour étudier les alternatives techniques. Missionnées par Bernard Cazeneuve, alors à Beauvau, pour auditer le système TES, l’Agence nationale de la sécurité des systèmes d’information (Anssi) et la Direction interministérielle du numérique et de la sécurité du système d’information de l’Etat (Dinsic) ont rendu, le 18 janvier, un rapport sévère à bien des égards.

Rien n’y a fait. Et Bruno Le Roux n’a pas dévié d’un pouce de la ligne tracée par son prédécesseur.

Les faits sont pourtant têtus. Le «mégafichier» vise en priorité à lutter contre la fraude et à simplifier la vie de l’usager, insiste le ministère de l’Intérieur. Pour autant, les réquisitions judiciaires permettent d’accéder à toutes les informations correspondant à une identité donnée, y compris les empreintes. La Place Beauvau souligne que le lien entre les données d’état civil et les données biométriques ne fonctionne que dans un sens (le système ne doit pas offrir de possibilité d’identifier une personne à partir de ses empreintes ou de sa photo). Mais le constat de l’Anssi et de la Dinsic est sans appel : même avec ce lien unidirectionnel, «le système TES peut techniquement être détourné à des fins d’identification […] ne serait-ce que par reconstitution d’une base de données complète». «Les données biométriques propres à la CNI existent déjà», fait encore valoir l’Intérieur. Certes, mais elles étaient jusqu’ici conservées sous format papier, de manière décentralisée, dans les préfectures. Elles seront désormais réunies sous forme numérisée dans un seul et même système.

A lire aussi :«Mégafichier» : un audit et des failles

Quant à la possibilité, concédée par Cazeneuve face à la bronca, de refuser de voir ses empreintes digitales versées au fichier, qui l’exercera dans les faits ? Qui sera suffisamment informé ? Qui résistera à la crainte de paraître avoir «quelque chose à cacher» ?

«Tout régime autoritaire s’appuie sur un fichage de sa population»

Les opposants au «mégafichier» n’ont cessé de le répéter : rien ne garantit que ses finalités ne seront pas étendues – comme cela s’est produit pour les fichiers européens des demandeurs d’asile ou de visa – suite à des événements dramatiques. Et que dire du contexte politique, plus incertain que jamais, où le poids de l’extrême droite se renforce, ici comme ailleurs ? L’Observatoire des libertés et du numérique le résume en une phrase : «Les fichiers centralisés ne font pas les régimes autoritaires, mais tout régime autoritaire s’appuie sur un fichage de sa population.»

À lire aussi Fichier des pièces d’identité : «Ce décret crée un monstre»

D’autres solutions plus protectrices des libertés, d’autres architectures, étaient pourtant possibles. Mais ni la Cnil, ni le CNNum, ni les parlementaires, ni les experts, ni la société civile n’ont été écoutés. Seul a compté le «calendrier de généralisation», unique horizon d’un exécutif qui se gargarise de démarches «participatives» quand elles l’arrangent, mais reste sourd à toutes les alertes. Le 15 novembre, on put même entendre Bernard Cazeneuve, devant l’Assemblée nationale, expliquer sans frémir que pour éviter des usages néfastes de ce fichier, il suffirait de «ne pas accorder ses suffrages à certains», et qu’«avec une telle logique, nous ne ferions plus rien de sensé en matière de progrès du service public»… Après nous, le déluge !

«Le risque zéro n’existe pas»

Quel que soit le niveau de sécurité actuel ou futur du système, quelles que soient ses défenses contre d’éventuelles cyberattaques – et Le Roux le reconnaît, en la matière, «le risque zéro n’existe pas» –, quelles que soient les garanties techniques ou légales actuelles, l’existence même de ce «fichier monstre» constitue un danger pour les libertés fondamentales.

Son déploiement, à marche forcée, est accueilli par un fatalisme inquiétant. Faudra-t-il donc s’en remettre aux recours juridiques lancés par quelques associations, ou à la Commission européenne, saisie de la question par des eurodéputés ? Il n’est pas trop tard pour faire de ce sujet l’un des enjeux de la campagne en cours. Au moins connaîtra-t-on le prix que les candidats accordent à la protection de nos données personnelles et de nos libertés.