Les formulaires de demande de carte d'identité et de passeport doivent désormais afficher une case permettant de ne pas numériser les empreintes, qui seront conservées sous forme papier. Une concession par l'État qui ne satisfait pas la CNIL, qui pointe encore certains problèmes.

Dans un Journal officiel très fourni, vient d'être publié un décret dans le cadre du fichier TES. Ce dernier doit regrouper l'identité et des données biométriques des Français, pour la création d'une carte d'identité ou d'un passeport. L'un des points sensibles du dispositif est la collecte systématique des empreintes digitales, dans le but officiel d'accélérer le traitement des demandes et de lutter contre la contrefaçon.

Désormais, il est possible de refuser explicitement la numérisation de ses empreintes digitales au dépôt de la demande. Par contre, elles seront toujours bien collectées et intégrées au dossier de demande. Il doit ensuite être « conservé de manière sécurisée par le service instructeur », pendant 20 ans (15 ans pour un mineur). Chaque consultation et son auteur sont consignées, pendant cinq ans.

Les mises en garde de la CNIL

Le décret est accompagné de l'avis de la CNIL, qui rappelle que cette possibilité d'éviter la numérisation des empreintes n'était pas prévue au départ, mais a été introduite pour rassurer les citoyens.

Alors que le décret instituant le fichier TES nouvelle génération était passé discrètement un week-end de pont, sa publication a suscité un tollé important, puis une analyse de l'ANSSI et de la DINSIC. Ces derniers ont trouvé nombre de failles dans un système à la sécurité « parfaitement pensée » selon le ministre de l'Intérieur de l'époque, Bernard Cazeneuve.

Pour refuser la numérisation, il faudra cocher une case spécifique dans le formulaire de demande de carte d'identité ou de passeport. Elles seront retenues sous forme papier, déjà « en vigueur avant l'application du dispositif TES », rappelle la CNIL. La commission prévient que l'idée de créer un fichier des personnes aux empreintes non-numérisées « doit être exclue ». Au cas où le ministère de l'Intérieur s'y sente inspiré.

Des limites, mais pas moins de risques

En fait, le décret ne répond pas aux inquiétudes de la CNIL, qui tire à boulets rouges sur le texte. Il « n'est pas de nature à réduire substantiellement les risques soulevés par la création de la base de données TES », déjà exprimées fin septembre dans une première analyse.

Les demandeurs de passeport ne peuvent refuser la numérisation. La photographie aussi reste (dans tous les cas) informatisée. La commission note aussi que le refus doit être explicite, donc que peu de demandeurs risquent d'en tirer profit.

Enfin, le principal point noir reste en suspens. L'une des critiques majeures du décret d'octobre dernier est qu'il reste techniquement possible de retrouver des empreintes à partir de l'identité d'une personne. Officiellement, le lien est interdit dans ce sens, les empreintes enregistrées devant uniquement servir de point de comparaison pour délivrer un nouveau titre d'identité.

Dans son dernier avis, la CNIL reproche au ministère d'inclure les fins d'« identification certaine d'une personne dans le cadre d'une procédure judiciaire », sans préciser lesquelles. Si la loi doit par ailleurs bien cibler les traitements autorisés, le décret resterait bien lui-même muet sur la question.

Le chemin a été long pour le fichier, généralisé fin mars. Il a été coup sur coup étrillé par la CNIL en septembre puis novembre, décortiqué techniquement (avec des failles « secret-défense »), attaqué par une procédure de suspension devant le Conseil d'État en février. Il reste à voir si les prochains mois seront aussi mouvementés.