Que reproche-t-on au TES, le « mégafichier » des 60 millions de Français ?
Que reproche-t-on au TES, le « mégafichier » des 60 millions de Français ?
Par Martin Untersinger
Bernard Cazeneuve a proposé, mardi, aux présidents de l’Assemblée nationale et du Sénat la tenue d’un débat sur ce mégafichier controversé.
La publication lors du week-end de la Toussaint d’un décret instituant une base de données biométrique des Français a ravivé les craintes des défenseurs des libertés publiques. Le gouvernement a décidé d’intégrer les données des demandeurs de cartes d’identité dans le fichier des passeports – le fichier des Titres électroniques sécurisés (TES), qui existe déjà – et d’y stocker les données personnelles, et notamment les empreintes digitales, de tous les titulaires de ces titres d’identité.
Plusieurs associations de défense des droits de l’homme se sont alarmées de l’existence d’un fichier d’une taille inédite depuis la deuxième guerre mondiale et le Conseil national du numérique a appelé le gouvernement à le suspendre.
Données biométriques extrêmement sensibles
Les données biométriques ne sont pas des données comme les autres aux yeux de la loi sur les données personnelles, et la Commission nationale de l’informatique et des libertés (CNIL) est pointilleuse lorsque lui est soumis un fichier biométrique.
D’abord, parce qu’à l’inverse d’un mot de passe par exemple, les données biométriques comme les empreintes digitales ne peuvent pas être changées en cas de piratage ou d’usurpation. Ensuite, il est techniquement possible de récupérer des empreintes digitales laissées par une personne sur les objets qu’elle touche. C’est ce qu’explique la CNIL dans son avis, consultatif, au sujet du fichier TES :
« Les données biométriques présentent la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s’affranchir. Ces données sont susceptibles d’être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu et sont donc particulièrement sensibles. »
« Des photos du visage peuvent être prises et les empreintes digitales relevées sans le consentement de l’utilisateur. Il faut utiliser des éléments biométriques qui nécessitent le consentement » comme par exemple les réseaux veineux de la main, explique Eli Biham, cryptologue et mathématicien israélien de renom qui se bat depuis une dizaine d’années contre un projet de base de données biométrique nationale porté par son gouvernement.
Authentification et identification
Les opposants au fichier TES craignent que ce dernier serve non seulement à authentifier des citoyens, mais également à les identifier. Il s’agit là d’une distinction fondamentale. En effet, un fichier utilisé pour authentifier un individu, en comparant ses empreintes digitales pour s’assurer qu’il s’agit des mêmes que celles qui sont en mémoire, est moins intrusif qu’un fichier utilisé pour identifier un individu, c’est-à-dire obtenir son identité à partir, par exemple, des empreintes digitales.
Le Conseil constitutionnel avait retoqué une base de données similaire, en 2012, au motif qu’elle pouvait servir à identifier, et pas seulement authentifier, des individus. Autre exemple d’une base de données biométrique permettant d’identifier et dont la légalité fait débat, la base AGDREF 2, qui contient les empreintes biométriques, des dix doigts, de sept millions d’étrangers présents légalement et illégalement en France. Elle peut notamment être utilisée pour identifier un individu à partir de ses empreintes. La CNIL avait cité cet argument pour s’opposer, en 2011, à la création de ce fichier, estimant que « si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation de données biométriques telles que les empreintes digitales […] » et que ce dispositif « pourrait être de nature à porter une atteinte excessive à la liberté individuelle des personnes concernées ».
Le fichier TES tel que prévu par le gouvernement ne permet pas d’identifier, mais seulement d’authentifier, pour lutter notamment contre la fraude aux papiers d’identité. Concrètement, pour s’assurer qu’une personne demandant un document d’identité n’a pas déjà fait des demandes identiques sous d’autres noms, on regardera si ses empreintes ont déjà été enregistrées.
Elargissement des finalités
Mais ce fichier, si son utilisation est aujourd’hui clairement délimitée, pourra voir dans un second temps ses finalités élargies. C’est en tout cas l’une des craintes affichées par ses opposants : l’exemple du fichier des empreintes génétiques, dont les finalités ont été notablement élargies depuis sa création, est fréquemment avancé.
Isabelle Falque-Pierrotin, la présidente de la CNIL, l’évoque dans une interview donnée à l’Agence France-Presse :
« Il est évident que ce n’est pas du tout aujourd’hui dans les finalités du fichier qui a pour vocation de lutter contre l’usurpation d’identité, [mais] cet outil de grande ampleur peut faire craindre qu’il puisse être utilisé à d’autres fins, peut-être pas aujourd’hui mais demain. »
Une critique partagée par le Conseil national du numérique, qui déclare dans un communiqué :
« Les reculs démocratiques et la montée des populismes, observés y compris en Europe et aux Etats-Unis, rendent déraisonnables ces paris sur l’avenir. »
L’outil légal adopté par le gouvernement, un décret et non une loi, laisse en tout cas à ce dernier une plus grande souplesse pour en aménager les modalités. « A partir du moment où la base de 60 millions de personnes est là, on peut ajouter une fonction de recherche par exemple. C’est d’autant plus facile qu’on est sur une base réglementaire, pas besoin d’adopter une nouvelle loi », résume Guillaume Desgens-Pasanau, maître de conférences au CNAM et magistrat.
Un éventuel aménagement du décret pour permettre l’identification se heurterait cependant aux limites posées par le Conseil constitutionnel dans sa décision de 2012. C’est ce qu’a rappelé le ministre de l’intérieur, Bernard Cazeneuve, dans une lettre adressée lundi 7 novembre au président du Conseil national du numérique. Outre cette limite légale, M. Cazeneuve a expliqué que le fichier était techniquement organisé de sorte à ce qu’il soit impossible de récupérer une identité à partir d’une empreinte digitale. C’est à la CNIL qu’incombe désormais de vérifier si tel est bien le cas, dans le cadre de ses missions de contrôle du fichier.
Un décret plutôt qu’une loi
En amont de la création du fichier TES, le gouvernement a saisi le Conseil d’Etat. Ce dernier a validé le dispositif, en rappelant que, « compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait, il n’est pas interdit au gouvernement, s’il le croit opportun, d’emprunter la voie législative ». Le gouvernement a préféré agir par décret : une option parfaitement légale mais qui a été vivement critiquée y compris dans les rangs du gouvernement, par la voix d’Axelle Lemaire, secrétaire d’Etat au numérique.
Quant à Isabelle Falque-Pierrotin, elle explique :
« On passe à un fichier national qui concerne tous les Français. Cela n’a jamais été fait et je crois que cela nécessite un débat au Parlement. Il ne nous paraît pas convenable qu’un changement d’une telle ampleur puisse être introduit, presque en catimini, par un décret publié un dimanche de Toussaint. »
Pour l’avocat spécialiste du droit du numérique Alain Bensoussan, la légalité et l’opportunité du fichier TES, y compris son mode de création, ne fait aucun doute. Cependant, il estime que subsiste un choix d’ordre politique et que la biométrie mérite « un débat citoyen car les droits fondamentaux sont en cause et [elle] devrait faire l’objet d’une loi ».
Mardi, Bernard Cazeneuve a proposé aux présidents de l’Assemblée nationale et du Sénat la tenue d’un débat parlementaire sur ce mégafichier controversé. Dans une lettre aux deux présidents, il estime qu’un tel débat « serait de nature à répondre aux questions formulées au gouvernement » sur ce fichier.
Risque de piratage
Autre inquiétude de la part des opposants au fichier TES : la vulnérabilité à un piratage que représente une base de données contenant autant d’informations personnelles.
« On sait de longue date en sécurité informatique que la centralisation représente une source de risque car elle désigne à un attaquant une cible très tentante, et toute attaque peut avoir des impacts majeurs », explique Claude Castellucia, chercheur en informatique à l’Institut national de recherche en informatique et en automatique (Inria).
Récemment, la base de données de l’administration américaine contenant les données personnelles, dont des empreintes digitales, de 21,5 millions de fonctionnaires américains, a été piratée. Parmi les victimes figurent plusieurs millions de fonctionnaires, dont certains agents des services de renseignement.
En Israël, où un projet pilote de base de données biométrique centralisée est expérimenté depuis quelques années, les dirigeants du Mossad (service de renseignement extérieur) et leurs collègues du Shin Bet (service de contre-espionnage) ont interdit à leurs agents de fournir leurs empreintes digitales, craignant une fuite de données.
Dans sa lettre au président du Conseil national du numérique, M. Cazeneuve a insisté sur les précautions (le chiffrement des données notamment) déployées pour protéger les fichiers d’éventuels piratages.
Base de données pas obligatoire
Le but poursuivi par le fichier TES, celui de lutter contre la fraude documentaire, n’est pas remis en cause par ses opposants. Ces derniers notent cependant qu’une partie au moins des objectifs du fichier auraient pu être atteints sans création de base de données.
C’est le cas, par exemple, de la CNIL, qui « regrette que les dispositifs présentant moins de risques pour la protection des données personnelles, tels que la conservation de données biométriques sur un support individuel exclusivement détenu par la personne, n’aient pas été expertisés ». « Base de données nationale ne signifie pas forcément base de données centralisée physiquement, précise Daniel Le Métayer, chercheur en informatique à l’Inria. Une carte à puce sécurisée contenant une empreinte digitale peut authentifier une personne sans révéler son identité ».
Autrement dit, il est possible de vérifier que la personne qui présente une pièce d’identité est bien celle pour qui ladite pièce a été fabriquée en comparant ses empreintes digitales à celles stockées sur la carte. Une option qui suppose d’équiper les cartes d’identité d’une puce sécurisée, à l’instar des passeports. Or il s’agit d’une opération bien plus coûteuse que la création d’un fichier. Et selon Libération, ce serait avant tout pour réaliser des économies que l’option du fichier centralisé a été retenue. Un raisonnement reconnu à demi-mot par M. Cazeneuve dans sa lettre : l’opération qui consisterait à munir les cartes d’identité d’une puce serait d’un « équilibre économique non attesté ».