Hier, Isabelle Falque-Pierrotin, présidente de la CNIL, a été auditionnée par la Commission des lois au Sénat. L’objet ? Encore et toujours TES, ce fichage de 60 millions de Français organisé par un décret en Conseil d’État publié à la Toussaint. Et c’est peu de le dire, ses doutes, regrets et critiques ont été lourds et nombreux.

Après sa publication au Journal officiel durant un paisible week-end de Toussaint, le décret instaurant le « fichier monstre » est enfin pris en main par les parlementaires. Mardi, Bernard Cazeneuve a été auditionné tout comme le président du Conseil national du numérique, mais également Isabelle Falque-Pierrotin (IFP).

C'est peu de le dire, mais l'exposé de la présidente de la CNIL a été clair et précis. L'échange lui a permis de revenir sur l’avis exprimée par l'autorité sur ce texte. Avec ce décret, « on est clairement face à un changement d’ampleur ». Et pour cause, ce texte gouvernemental fait basculer le fichier TES des passeports à « potentiellement un fichier qui peut comporter 60 millions de personnes. ». Soit une bascule de 15 millions (ou 29 millions, selon le ministre) de personnes, à la quasi-totalité de la population française.

Aucune autre alternative n'a été présentée à la CNIL

Au fil de son allocution en Commission des lois, elle a relevé, non sans regret, qu’« aucun autre système n’a été étudié et présenté comme voie alternative. Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ».

Le ministère de l’Intérieur n’a donc présenté à l’autorité qu’une seule solution, une base centralisant les données notamment biométriques des Français sans envisager d’autres hypothèses, qui existent pourtant. Cette démarche, d’apparence brutale, est sèchement normale : ce travail d’analyse est celui d’une étude d’impact. Or, un tel décret n’a pas à être accompagné d’un tel document, contrairement à un projet de loi. Cela traduit aussi le fait que Bernard Cazeneuve n’a d’yeux que pour la centralisation, écartant de sa main régalienne, toutes autres solutions alternatives.

Certes, les garanties ont été apportées par le même ministère : le fichier TES sert uniquement à la bonne administration des titres et surtout à authentifier une personne : savoir que Mme Michu est bien celle qu’elle prétend, lorsqu’elle tend un titre à un agent. Mais IFP, d’expérience, prend des pincettes de chirurgien : « Il est évident qu’à partir du moment où la base centrale est constituée, les données vont susciter énormément de convoitise en termes d’identification ». Une convoitise qui se conjugue déjà au présent puisque le député Philippe Goujon, avec qui nous avons partagé un plateau sur France 5, milite ardemment pour permettre d’identifier sur TES une personne à l’aide de ses seules données biométriques. Ce que le Conseil constitutionnel avait interdit en 2012, du moins lorsqu’il avait eu à connaître d’un précédent législatif.

Bernard Cazeneuve a depuis démultiplié les arguments pour assurer aussi que la base serait extrêmement robuste, homologuée par l’ANSSI, auscultée par la DINSIC. De plus, cette base serait construite pour éviter la possibilité d’identification. La CNIL ne partage pas cette confiance gouvernementale : avec TES, inévitablement, « on se crée un risque », puisque les cas de piratage ponctuent le quotidien.  

Quant aux assurances sur l’architecture de ce système d’information, « les points de vue des techniciens sont extrêmement variés. Des gens nous disent c’est strictement impossible. D’autres, qu’il faut du développement supplémentaire, mais à partir du matériau, on peut réorganiser la base pour pouvoir la consulter différemment ». Dans l’incertitude, IFP s’est gardée de donner une réponse définitive faute d’audit suffisant. « Visiblement, les positions ne sont pas univoques. Dans le milieu des techniciens informatiques, il y a des positions divergentes. L’impossibilité technique présentée comme une garantie dans le décret est [donc] fragile ». 

Quant à l’impossibilité juridique, celle visant à basculer d’un droit à l’authentification à celui d’une possible identification, voilà une certitude cette fois « extrêmement fragile. Il suffit de modifier une ligne du décret pour que l’identification du décret soit possible ! ». La CNIL semble donc faire peu de cas de la décision-rempart du Conseil constitutionnel en 2012, du moins en attente d'une potentielle intervention du juge suprême.

L'alternative de la carte à puce

Toujours devant la Commission des lois, la présidente de la CNIL a présenté plusieurs alternatives à la base centralisée. Elle souhaite que soit expertisée « une solution de biométrie sur la puce ». Une telle option « permet de remplir la finalité d’authentification puisque vous pouvez comparer, au moment où quelqu’un vient renouveler son passeport ou sa carte nationale d’identité, si la donnée sur la puce est bien la même que celle collectée lorsque vous voyez la personne ». Avantage certain : « on évite la base centrale. C’est plus sécurisant, outre que cela empêche le détournement de finalité ».

La CNIL a proposé aussi, non de procéder à l’enregistrement de l’image de l’empreinte, extrêmement riche, mais de dégrader cette image à travers un gabarit, seul stocké en base. « Le gabarit en soi n’est pas utile, il faut exercer sur lui un traitement algorithmique pour revenir à l’empreinte digitale ». Cette proposition n’a pas eu davantage les échos favorables de la place Beauvau.

Autre souvenir de son avis, « on a surtout souhaité que le Parlement soit saisi de la question. Non pour des questions juridiques, mais parce que la question de TES est d’intérêt collectif, nécessitant que la représentation nationale prenne une décision en toute connaissance de cause ». Le tableau peint par IFP est simple : un traitement d’une telle ampleur – « une base de toute la population, ça n’existe pas jusqu’à présent »-, des données extrêmement exhaustives, un objet vulnérable sur le plan informatique. Cela fait un peu beaucoup à ses yeux…

Une question sociétale qui exige une loi

Le point est ici philosophique plus que juridique. « En constituant cette base, on franchit un pas dans le type de société qui est la nôtre. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? ». Ambiance.

De telles bases de données, rappelle-t-elle, existent, mais elles étaient jusqu’à présent réservées à des personnes « ayant eu maille à partir avec la justice. Cela intéressait une population potentiellement dangereuse. Là, il s’agit d’autre chose. On constitue une base de l’ensemble de la population qui, bien sûr à ce stade ne peut servir qu’à des fins d’authentification, mais qui, en réalité peut illustrer une sorte de préconstitution de preuve au bénéfice de l’État par rapport à l’ensemble des citoyens, si d’aventure il s’avérait utile de les identifier dans certaines situations. On sent bien que cette préconstitution de preuve, pour des citoyens communs, sans relation avec la justice, change un petit peu notre relation avec la sécurité et la démocratie ».

Là encore, Bernard Cazeneuve n’a pas suivi les préconisations de la CNIL ou du Conseil d’État, quant au véhicule de cette réforme. Il a préféré utiliser un trou de souris prévu par la loi Informatique et Libertés, pour embarquer TES dans un décret plutôt que dans une loi.

La France, seule en Europe avec la Lituanie

Autre apport intéressant, la CNIL a fait une comparaison des législations internationales : « en Europe, il n’y a pas de pays qui ont ou envisagent un dispositif comparable à TES. Le seul est la Lituanie, avec un rapport au numérique qui est très différent du nôtre ». Soit il n’y a pas de base centrale – l’Allemagne – soit les fichiers sont gardés séparés entre le passeport et la CNI. « Nous serions le premier pays européen à nous doter à une base centrale commune permettant l’authentification, mais présentant les risques de sécurité et de détournement des finalités ».  

Aujourd'hui au Sénat, Bernard Cazeneuve a cité de nombreux pays européens qui auraient au contraire un régime similaire à la base TES, notamment les Pays-Bas.