Après la création d'un fichier commun aux passeports et aux cartes nationales d'identité ce 31 octobre, viennent les premières interrogations. Ainsi, le député Lionel Tardy a profité de la séance de questions au Gouvernement afin d'obtenir des réponses, notamment sur la méthode retenue.

Ce lundi, nous relevions comment le gouvernement avait profité du pont du 1er novembre pour donner naissance au fichier des « Titres électroniques sécurisés » (TES). Un fichier « monstre », tant par son contenu que ses possibilités d'accès, né d'un décret qui aura donc évité le Parlement et l'étude d'impact attachée aux projets de loi. Le seul rampart, bien maigre, fut donc les réserves de la CNIL. L'initiative n'est pas sans en rappeler le précédent de 2012, à laquelle de nombreux parlementaires socialistes s'étaient opposés, notamment Jean-Jacques Urvoas, actuel Garde des Sceaux...

Un fichier centralisé concernant 60 millions de français, créé par décret

Comme nous l'expliquions dans notre précédente analyse, ce fichier unifié contiendra l’état civil, mais aussi la couleur des yeux, la taille, l’adresse, la filiation des parents, l'image numérisée du visage et en principe des empreintes digitales de (presque) tous les Français. S’y ajouteront l'image numérisée de la signature du demandeur, l’adresse email et ses coordonnées téléphoniques s'il passe par une procédure à distance, le code de connexion délivré par l'administration, etc. On retrouvera aussi des informations concernant le titre lui-même.

En l'état, il sera impossible d’exploiter un outil de recherche « permettant l'identification à partir de l'image numérisée du visage ou de l'image numérisée des empreintes digitales enregistrées dans ce traitement », mais les agents pourront comparer automatiquement des empreintes digitales de chaque demandeur avec celles précédemment enregistrées sous la même identité et déceler les indices d’une possible fraude.

Selon le gouvernement, il n'y aura donc pas d'identification administrative mais une authentification automatisée et élargie. Mais tant la durée de conservation des données que les règles d'accès (ainsi que leurs possibles évolutions) ou encore les différents choix du gouvernement interrogent. Sans parler des risques de détournement ou de piratage. Dans son avis, et plutôt qu'une base centralisée, la CNIL aurait préféré l'utilisation du composant électronique dans la CNI. Un choix qui aurait permis de lutter contre le risque de fraude « tout en présentant moins de risques de détournement et d'atteintes au droit au respect de la vie privée ».

L'absence de débat public regretté à l'Assemblée nationale

Tout à l'heure, lors de la séance de questions au gouvernement qui se tenait à l'Assemblée Nationale, le député Lionel Tardy a interrogé le Premier ministre à ce sujet.

Revenant sur ses conditions de mise en place, ainsi que son contenu ou la tentative précédente de l'actuelle opposition, il s'étonne de la voie choisie : « Un tel fichier par son ampleur ne devrait pas pouvoir être créé sans qu'il y ait un grand débat public. Il est anormal que le parlement n'ait pas été saisi de ce sujet compte tenu de son caractère exceptionnel, comme l'a souligné la CNIL. Ce simple décret pourrait être modifié au gré des majorités gouvernementales. Il n'est donc pas exclu que ce fichier, puisqu'il existera, soit détourné à des fins bien plus inquiétantes pour nos libertés publiques. »

S'interrogeant sur les conditions mises en œuvre pour assurer la sécurité d'un tel fichier, qui sera forcément l'objet de convoitises diverses, il demande pourquoi un tel décret a été pris « sans aucun débat au Parlement, sans véritable étude d'impact, êtes-vous conscient Monsieur le Premier Ministre, des risques qui pèsent sur les données de 60 millions de français ? »

Pour Bernard Cazeneuve, tout va bien

C'est Bernard Cazeneuve qui lui a répondu. Sans chercher à justifier de l'utilisation d'un tel texte administratif ou d'une période de creux médiatique, le ministre de l'Intérieur a préféré filer la métaphore du député autour d'Haloween et des Français qui auraient été « pris pour des citrouilles » : « Monsieur le Député, Halloween a inspiré surtout votre question. Parce qu'il y a un décalage total entre la réalité du contenu de ce fichier et ce que vous en dites. »

Pour l'Intérieur, le fichier créé n'a rien à voir avec celui proposé en 2012, mieux : il « ne correspond à aucune des finalités, ni à aucune des règles de consultation du précédent fichier ». Et pour cause, le texte de 2012 était aussi taillé pour l'identification. Pour le représentant de l'exécutif, il s'agit simplement « d'intégrer des données relatives à un fichier obsolescent qui existe déjà, le FNG, permettant l'instruction des demandes de cartes nationales d'identité à un fichier beaucoup plus fiable, car récent, comportant les données notamment biométriques relatives au Passeport biométrisé en 2009. »

De quoi renforcer la base informatique utilisée pour la CNI mais aussi de « permettre une instruction harmonisée entre ces deux titres d'identité et de voyage que sont les Passeports et les Cartes Nationales d'Identité ». Bref, un outil parfait pour faciliter la vie du citoyen et le traitement informatique des services de l'État...

« La CNIL a validé ce fichier »...

Sur l'avis de la CNIL, il préfère voir le verre à moitié plein : la Commission a considéré que ce fichier monstre est « déterminé, explicite et légitime ». C'est vrai, comme il est vrai qu'il a été validé par le Conseil d'Etat dont l'avis n'a pas été publié. Nous ne connaissons donc rien des éventuelles réserves de ce dernier.

Mais lorsqu'elle évoque le TES, la CNIL précise aussi que « les risques spécifiques attachés au fichier envisagé, au regard tant de la nature des données enregistrées que du nombre de personnes concernées, imposent la plus grande prudence et obligent à n'envisager sa mise en œuvre que dans la stricte mesure où aucun autre dispositif, présentant moins de risques d'atteintes aux droits des intéressés, ne permet d'atteindre des résultats équivalents. »

... mais proposait plutôt l'intégration d'une puce sécurisée

Et surtout, comme souligné, la CNIL proposait l'utilisation d'un autre dispositif, évoqué par Bernard Cazeneuve, mais d'une manière qui nous interpelle. En effet, dans son avis la Commision relevait que « les finalités légitimes poursuivies par la mise en œuvre du traitement TES sont comparables à celles de l'institution d'une carte nationale d'identité dotée d'un composant électronique comportant des données biométriques, prévue à l'article 2 de la loi n° 2012-410 du 27 mars 2012 relative à la protection de l'identité » . Cependant, l'introduction du composant électronique sécurisé dans la carte nationale d'identité, qui n'a pas été censurée par le Conseil constitutionnel, n'a toujours pas été mise en œuvre. »

Une telle mesure serait pourtant, selon la Commission, « de nature à faciliter la lutte contre la fraude documentaire, tout en présentant moins de risques de détournement et d'atteintes au droit au respect de la vie privée. Elle permettrait de conserver les données biométriques sur un support individuel exclusivement détenu par la personne concernée, qui conserverait donc la maîtrise de ses données, réduisant les risques d'une utilisation à son insu ». Elle regrette ainsi « que les actes réglementaires permettant l'entrée en vigueur d'une telle mesure n'aient pas été adoptés, alors qu'est envisagée la création d'une base de données centralisée, présentant davantage de risques au regard de la protection des droits et libertés. »

François Pellegrini, professeur et informaticien rappelait ainsi ce matin que « l’insertion de dispositifs signés de façon cryptographique, tels qu’une puce électronique, au sein des documents, contribue grandement à la lutte contre la fraude, en rendant lesdits documents bien plus difficiles à contrefaire. Il faudrait alors que les faussaires cassent le chiffrement de la signature pour pouvoir encoder sur une puce vierge les données d’identité qu’ils souhaitent. [...] Hormis les usages autorisés dans le cadre des missions de police (fichiers des empreintes digitales et génétiques des délinquants majeurs, identification temporaire des demandeurs d’asile sans papiers, etc.), les données biométriques des personnes ne doivent pas être conservées en base centralisée, mais au sein de supports individuels à leur main. »

Mais cette faiblesse pour la CNIL, Bernard Cazeneuve préfère en faire une force dans sa réponse à Lionel Tardy. Il indique ainsi qu'il n'est pas question de revenir à la carte d'identité électronique, qu'il n'y aura pas d'utilisation biométrique et que « nous ne mettrons aucune puce dans la CNI ».

« Sur la base de ces informations vous devriez pouvoir quitter la séance totalement rassuré, si ce n'est absolument converti » déclare pour finir le Ministre. Pas sûr que la CNIL soit elle aussi convertie par la méthode et le dispositif décrétés par le Gouvernement.