Le très décrié fichier « titres électroniques sécurisés » (TES) avait été annoncé lors du long week-end de la Toussaint ; il a été généralisé en plein cœur des vacances de février.

Le gouvernement a publié le 17 février un arrêté – repéré par le site NextInpact – qui précise le calendrier de son déploiement dans toute la France. Actuellement expérimenté dans les Yvelines et en Bretagne, il entre en vigueur mardi 21 février à Paris, puis sera étendu à tous les départements de France d’ici à la fin du mois de mars.

Le calendrier de déploiement du fichier TES. | Legifrance.gouv.fr

La publication, en octobre 2016, du décret TES − il ouvre aux cartes d’identité un fichier auparavant dédié aux passeports, et qui rassemblera donc à terme les empreintes biométriques de tous les Français – avait suscité une vague de protestation dans la société civile. Il était notamment reproché à ce fichier de collecter massivement des données biométriques sensibles, de créer un puissant outil dont les finalités pouvaient être élargies jusqu’à en devenir abusives, ou encore de représenter une cible de choix pour les pirates informatiques.

En novembre, le gouvernement avait fait deux concessions.

La première était de rendre facultatif le versement au fichier TES des empreintes digitales des demandeurs de carte d’identité. « [Ce] refus n’empêchera pas la délivrance du titre », promettaient de concert Bernard Cazeneuve, alors ministre de l’intérieur, et Axelle Lemaire, secrétaire d’Etat au numérique. Problème : le décret TES tel qu’il va entrer en vigueur dans toute la France n’a pas été modifié pour prendre en compte cette concession ministérielle.

Failles

Un décret en ce sens est parvenu à la Commission nationale de l’informatique et des libertés (CNIL) qui devrait rendre un avis courant mars. Il prendra ensuite le chemin du Conseil d’Etat avant d’être publié. Pendant ce temps-là, le TES élargi commencera à être abondé en données biométriques issues des demandes de cartes d’identité.

Quid des citoyens ne souhaitant pas voir leurs empreintes stockées dans ce « mégafichier » ? Dans un courrier aux préfectures daté du 30 janvier, le ministère suggère que les mairies « informent les usagers souhaitant user de cette faculté (…) de différer leur demande jusqu’à publication de ce texte ».

La seconde promesse du ministère, la réalisation d’un audit technique du TES, a débouché sur un rapport, réalisé par l’Agence nationale de sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (DINSIC) pointant certaines failles et contenant plusieurs préconisations.

Auditionné par les sénateurs le 15 février, le ministre de l’intérieur, Bruno Le Roux, a indiqué que des mesures de sécurisation étaient en cours – les dernières seront finalisées à la fin février, après le début de l’application du TES élargi – et que « les onze recommandations du rapport seront pleinement mises en œuvre ».

Déploiement à marche forcée

Pourtant, interrogé dans la foulée par le président de la commission, il a renvoyé l’éventuelle application de la première d’entre elles, le renforcement des protections cryptographiques sur les données stockées par une « double clé », au « futur gouvernement ».

Bernard Cazeneuve et Axelle Lemaire avaient en outre promis, en novembre, que la mise en place du « mégafichier » serait conditionnée à un avis « conforme » de l’ANSSI.

Mais si les experts techniques de l’agence ont bien été conviés à la commission d’homologation, elle a « uniquement rendu un avis sur la sécurité du système et non un avis “conforme” », assure-t-on au sein de l’ANSSI. Cela n’a pas empêché l’homologation ministérielle. Ce procédé est conforme aux textes en vigueur et l’avis de l’ANSSI a été « pleinement pris en compte », fait-on valoir aujourd’hui Place Beauvau.

Ce déploiement du « mégafichier » à marche forcée, échéances électorales obligent, ne rassure pas Philippe Bas, le président (Les Républicains) de la commission des lois du Sénat. « L’audit a permis de vérifier le bien-fondé de plusieurs appréhensions que nous avions exprimées, explique-t-il au Monde. Il a posé la question de la double-clé [cryptographique], du stockage des empreintes sous forme de gabarit et fait apparaître qu’on peut se passer du fichier centralisé. Je pense que le gouvernement suit en partie [le rapport d’audit] mais pas totalement. On peut faire le choix qui a été fait, mais je ne suis pas sûr qu’on ait fait le bon choix. »