Le ministère de l'Intérieur vient de publier une Demande d’information (DI), sous-titrée « appel a compétences relatif au rapprochement par image au profit du fichier TAJ ». L'objectif est de :

• renouveler sa solution logicielle déjà en place pour le rapprochement des photos de face ;
• compléter l’offre de service en permettant le rapprochement des tatouages et autres signes particuliers (cicatrices, piercings ou autres caractéristiques distinctives).

Le service envisagé devra permettre un rapprochement « 1 pour N », en comparant la photo d'une personne « mise en cause » (M.E.C, et donc suspecte) « à l’ensemble des photos enregistrées dans le système ».

Le système devra ensuite fournir une liste de candidats « dont la similitude avec la photo question dépasse un seuil déterminé ». La DI précise ce que seuil devra, ainsi que le nombre de candidats à afficher, pouvoir être re-paramétré.

Le ministère relève que la solution technique proposée « n’a pas besoin d’être unique et générique ». Il sera ainsi possible d’utiliser plusieurs traitements spécialisés pour répondre aux différents cas d’usage, avec une « solution dédiée à la reconnaissance faciale » pour la photo de face, et des traitements spécifiques pour le rapprochement des signes particuliers (tatouages, cicatrices, piercings).

Les solutions devront en tout état de cause être « prêtes à être mises en œuvre au plus tard en juin 2025 ».

• La reconnaissance faciale du fichier TAJ validée par le Conseil d’État, au grand désespoir de la Quadrature du Net
• Un rapport parlementaire veut avancer sur la reconnaissance faciale

9M de visages, 4M de tatouages, 921 000 cicatrices et piercings

La DI mentionne plusieurs « contraintes techniques et fonctionnelles », à commencer par le fait d'utiliser l’identifiant technique fourni par le système TAJ « et s’assurer de ne traiter aucune donnée à caractère personnel ».

« Dans la mesure du possible », il conviendrait aussi d'éviter le stockage des photos au sein du système. Mais également de réaliser l’indexation des données « en continu, sans nécessiter de traitement cadencé par lot », et d'« offrir une scalabilité dans les deux dimensions (capacité et performance) sans nécessiter d’intervention de la part du prestataire ».

La solution devra en outre offrir un temps de réponse « inférieur à la seconde » lors des consultations, et être capable de traiter un volume de données similaire à celui géré par le système TAJ. Or, d'après un tableau fourni par le ministère, TAJ dénombrerait d'ores et déjà 9 millions de photos de face (+ 135 000 nouvelles photos par mois), 4 134 000 tatouages (+ 52 000), et 921 000 signes particuliers (+ 9 000).

En 2018, le rapport d'information parlementaire sur les fichiers mis à la disposition des forces de sécurité indiquait, dans une note de bas de page, que le TAJ comportait « entre 7 et 8 millions de photos de face ». À titre de comparaison, il en répertoriait « plus de deux millions » en 2012, lorsque la CNIL avait découvert, à l'occasion de la création du TAJ, l'existence du fichier GASPARD (pour Gestion Automatisée des Signalements et des Photos Anthropométriques Répertoriées et Distribuables), non déclaré, et donc « hors la loi ».

Pour rappel, la création du TAJ résulte de la fusion de deux fichiers, qui avaient, eux aussi, été créés et utilisés pendant des années en toute illégalité. Si le Système de traitement des infractions constatées (STIC) fut régularisé en 2001, soit six ans après sa création en 1995, son équivalent dans la gendarmerie, le Système judiciaire de documentation et d’exploitation de la gendarmerie nationale (JUDEX), créé en 1985, ne fut de son côté régularisé qu'en 2006. Les parlementaires, discutant de l’interconnexion du STIC et de JUDEX, avaient en effet découvert que ce dernier n’était alors « fondé sur aucun texte de droit ».

À l'époque, le premier répertoriait les noms, prénoms, surnoms, alias, date et lieu de naissance, situation familiale, filiation, nationalité, adresse(s), profession(s), signalement et photographie de « 6,5 millions de mis en cause ». Le second comportait de son côté les données de 2,15 millions de M.E.C (en 2009).

• Vers des contrôles biométriques « en bord de route »
• Le fichier EURODAC va ficher les empreintes faciales et digitales des enfants à partir de 6 ans

30 % de la population française serait « défavorablement connue »

On ne sait pas exactement combien de personnes figuraient alors dans les deux fichiers, mais la CNIL s'était à l'époque opposée à leur fusion, au motif qu'ils étaient truffés d'erreur.

En 2008, la Commission avait ainsi découvert que plus d'un million de personnes, bien que « blanchies » par la justice suite à des classements sans suite, relaxes, acquittements et non-lieux, étaient toujours fichées comme « mises en cause » par la police. Cette dernière n'avait pas été tenue informée par le ministère de la Justice des suites judiciaires données à ces M.E.C.

En 2012, le rapport annuel de la CNIL avançait que plus de 12 millions de personnes physiques étaient fichées comme « mises en cause » dans le TAJ, soit près de 20 % de la population française. Un chiffre d'autant plus étonnant que, dans ce même rapport, la CNIL ne recensait que 6,8 M de M.E.C dans le STIC, et 2,6 M dans JUDEX.

Soit un total putatif de 9,4 millions, à mesure qu'il était probable que certains M.E.C. figurent dans les deux fichiers. Le ministère de l'Intérieur avait alors argué que ce différentiel (avec les 12 millions) résultait d'un « bug informatique » dû à la fusion des deux fichiers au sein du TAJ.

Le ministère, qui ne communique jamais publiquement à son sujet, avait ensuite indiqué à la CNIL que « plus de 18,9 millions de fiches de personnes mises en cause » figuraient dans le TAJ en 2018 (soit un peu moins de 30 % de la population française), ainsi que 87 millions d'affaires répertoriées.

Un fichage « à charge » qui n'est pas sans conséquence pour ces personnes « défavorablement connues » des services de police ou de gendarmerie, pour reprendre l’expression médiatique dévoyée.

D'une part cela peut leur valoir de se voir interdits d'accéder à certains emplois allant des métiers liés à la sécurité (policiers, gendarmes, contrôleurs RATP, vigiles, gardes champêtres, etc.), dans les aéroports, les autoroutes, les éleveurs de lévriers, les entraîneurs de pelote basques, les personnes sollicitant l’autorisation d’effectuer des prises de vue aérienne, la légion d’honneur ou la nationalité française... mais aussi d'accéder aux « fans zone » des Jeux olympiques.

D'autre part, et au surplus, la majeure partie de ces personnes fichées comme « défavorablement connues » des services de police ou de gendarmerie n'ont pour autant jamais été condamnées pour ce qui leur a pourtant valu d'être fichées comme M.E.C.

Interrogé par l'auteur de ces lignes, le ministère de la Justice ne dénombrait ainsi en 2017 « que » 5 119 654 personnes condamnées inscrites au casier judiciaire, soit 7,6 % de la population française (ou 9,4 % des plus de 15 ans). En France, on dénombrerait ainsi trois fois plus de fiches de personnes « mises en cause » dans le TAJ que de personnes « condamnées » inscrites au casier judiciaire.

La fiche du site Service Public consacrée au TAJ explique à ce titre, tout comme celui de la CNIL, qu'il est possible de faire valoir ses droits d'accès et de rectification en écrivant au ministère de l'Intérieur. Il disposera d'un délai de deux mois pour répondre à compter de la date de réception de la demande.

Comme le précise le site de la CNIL, les données concernant les personnes mises en cause majeures sont conservées 20 ans ou, par dérogation, 5 ans pour certains délits et contraventions, et 40 ans pour les crimes et certains délits, contre 5 ans pour les mineurs (pouvant être portés, par dérogation, à 10 ou 20 ans).

Les données concernant les victimes (qui sont elles aussi fichées au TAJ, mais sans que l'on sache combien de personnes seraient concernées) sont quant à elles conservées « au maximum 15 ans ».

Une reconnaissance faciale en œuvre depuis 2017

Le rapport d'information parlementaire sur les fichiers de sécurité précisait par ailleurs que l'application GASPARD-NG (pour Nouvelle génération), dédiée à la gestion des signalisations et mise en œuvre en octobre 2017, venait de marquer « une étape importante » :

« Désormais, dès qu’une personne est interpellée, elle est signalisée avec ce logiciel qui permet d’intégrer le signalement, les photographies et les empreintes digitales. GASPARD NG transmet des références communes au TAJ et au FAED, ce qui est un facteur de fiabilisation des données contenues dans ces deux applications. »

Le rapport précisait également que « GASPARD NG permet aussi d’alimenter le TAJ des photographies des mis en cause », et qu'il était ainsi désormais possible de « lancer dans le TAJ des recherches à partir d’une photographie » :

« Les résultats de la recherche font apparaître les photographies déjà présentes susceptibles d’y correspondre en fonction d’un certain nombre de paramètres (écartement des yeux, etc.). La recherche peut ailleurs être affinée par certains critères, tels que le sexe, la couleur des yeux ou des cheveux, etc. Le TAJ constitue déjà, de ce point de vue, un outil de reconnaissance faciale. »

Une nouvelle version du logiciel FaceVACS - DBScan commercialisé par la société allemande Cognitec, permettait déjà depuis 2020 d'opérer des recherches « en quelques secondes », mais également d'effectuer des comparaisons avec des photographies, images et vidéos, dont celles, de moindre qualité, issues des réseaux sociaux.

Le rapport parlementaire consacré à la reconnaissance faciale relevait que GASPARD-NG avait ainsi enregistré un « accroissement notable depuis quelques années », totalisant 615 871 recoupements en 2021, contre 375 747 en 2019 (soit + 64 %) :

« En 2021, il a été utilisé 498 871 fois par la police nationale et environ 117 000 fois par la gendarmerie nationale. Selon la direction centrale de la police judiciaire (DCPJ), qui est le gestionnaire du traitement, cette montée en puissance de l'utilisation de l'outil pourrait être consécutive à l'évolution technique de l'outil intervenue en 2019 qui en a nettement amélioré la performance. »

• Un manifestant condamné après avoir été identifié par reconnaissance faciale
• Le fichier des empreintes digitales sera interconnecté avec le casier judiciaire (3/3)

Un système d’importance vitale (SIV) disponible 24/7

La DI précise que l'Agence Numérique des Forces de Sécurité Intérieure (ANFSI) met aujourd'hui à disposition des utilisateurs de la Police Nationale, de la Gendarmerie Nationale ainsi que d’autres administrations, « un système d'information judiciaire commun » :

« Les rapprochements réalisés par les enquêteurs dans cet outil peuvent utiliser du texte (état-civil, infraction, manière d’opérer, etc..) mais également des images (des captures de vidéosurveillance, des photographies de suspects …). »

Ce système, « conçu pour la consultation judiciaire et administrative » (et donc aussi par certains services de renseignement), qui inclut ces fonctionnalités de rapprochement d’informations, est par ailleurs mis à jour « en temps réel » :

« Ce système d’importance vitale (SIV) est disponible 24/7, parce qu’il est central au fonctionnement des forces de l’ordre, essentiel pour la sécurité nationale, et crucial pour la conduite des enquêtes judiciaires. »

La DI précise que la solution devra en outre « pouvoir être déployée avec l’infrastructure hébergeant le système TAJ », et plus spécifiquement le Service du Traitement de l’Information de la Gendarmerie (STIG), ce qui « implique des contraintes supplémentaires ».

De nombreuses questions techniques

Le système devra en effet être compatible avec Debian (version 12 et ultérieures), fonctionner sous Vsphère (pour la virtualisation) et/ou Docker (pour la conteneurisation), et utiliser des middlewares conformes aux normes définies par le Réglementation des Développements de la Sécurité Intérieure (RDSI). Il devra aussi pouvoir interagir avec le système TAJ via une API dédiée, être opérationnel sans nécessiter l’utilisation de GPU, et fonctionner en cluster sur deux sites distants pour garantir la résilience et la haute disponibilité.

La DI pose par ailleurs un certain nombre d'autres questions aux opérateurs potentiellement compétents (que nous reproduisons à l’identique) :

• Quels sont les OS supportés par votre solution ?
• Vos équipements fonctionnent-ils dans un environnement virtualisé (VSphère) ?
• Votre solution est-elle scalable dans les deux dimensions ?
• Quel est le volume moyen en ko de la signature d’une photo ?
• Quel est le mode de stockage des signatures de photos ?
• Votre solution peut-elle fonctionner sans héberger les photos ?
• Votre solution est-elle utilisable via API ?
• Quelle est la fréquence des mises à jour de votre solution ?
• Quels sont les types de CPU supportés par votre solution (Intel, AMD, CUDA, ARM) ?
• Quel langage est utilisé pour l’indexation (Java, Pyhton, C++, etc…) ?
• Votre solution utilise-t-elle des fonctions de Deep-Learning ?
• Quels sont les formats d’image supportés par votre solution ?
• Les paramètres de votre solution sont-ils administrables ? Par quel type d’interface ?
• Votre équipement peut-il être déployé en cluster sur plusieurs sites d’hébergement ?
• Comment les mises à jour et les correctifs sont-ils gérés ?
• Quel est le processus de gestion des incidents et des pannes ?
• Votre solution intègre-t-elle des technologies innovantes ou des fonctionnalités avancées ?
• Comment la solution peut-elle évoluer pour s’adapter aux futurs besoins ou exigences ?
• Quelles sont vos principales références, en production, dans le domaine des solutions de rapprochement par image?
• Avez-vous déjà travaillé au profit de l'Etat (ou) d’un autre pays que la France ? Si oui, précisez les références de ces travaux et le point de contact.
• Avez-vous déposé des brevets traitant de rapprochement par image (type de brevet, date de dépôt) datant de moins de 5 ans ?
• Vous-mêmes ou l’une de vos solutions sont-elles homologuées et/ou certifiées par l’ANSSI, ou certifiés au niveau européen, voire international ?

Les opérateurs compétents sont en outre invités à présenter des éléments financiers associés au coût d’acquisition de la solution de rapprochement par image proposée, « et au modèle économique associé ».

Ils fourniront notamment une estimation financière du « coût global du développement (fonction du niveau de maturité), de la mise en œuvre, du déploiement et de la maintenance » de la solution proposée, en termes de réalisation/installation, de benchmark des performances, de déploiement aux usagers et de maintenance annuelle.

Une procédure déjà utilisée pour le « rideau de fer » de Mayotte

Une DI (ou RFI, pour Request For Information), rappelle le ministère, « ne constitue ni une consultation, ni un appel d’offres, ni un quelconque engagement de l’État à lancer ultérieurement une opération ou une contractualisation sur l’objet de la présente DI ».

L'objectif est, en effet, et « en amont de la réflexion », de sonder la capacité du marché à répondre « en tout ou partie » des besoins de l’Administration. Il s'agirait notamment de connaître les solutions proposées par les industriels et d'obtenir des réponses plus détaillées de la part des « opérateurs compétents » vis-à-vis des besoins exprimés par le ministère.

L'objectif est aussi de comprendre leur positionnement, points forts et valeur ajoutée par rapport à la concurrence, d'identifier leurs principaux clients sur ce type de prestations, les cas d'usage et le nombre de produits actuellement déployés dans telles ou telles structures, notamment dans des forces de sécurité étatique, en France ou à l'étranger.

La DI cherche également à obtenir une « vision d’ensemble sur le fonctionnement de la solution et les parcours qu’elle permet de couvrir », les briques applicatives et techniques nécessaires à son fonctionnement, ainsi que les « principes sur lesquels elle s’appuie ».

L'objectif est aussi d'évaluer la maturité des solutions, leur robustesse, fiabilité et performance, « pour s’assurer qu’elles répondent aux exigences actuelles et futures de l’Administration », et vérifier la capacité des solutions « à évoluer et à s’adapter aux besoins futurs, garantissant ainsi leur durabilité et leur adéquation avec les exigences en constante évolution ».

La DI vise ainsi à « identifier des solutions techniques (équipements/logiciels) novatrices et aptes à une utilisation sur le terrain », savoir « combien de temps » il faudrait pour mettre à disposition la solution proposée, afin d'aider le ministère à affiner l'appel d'offres :

« L’Administration encourage les répondants à fournir un maximum d’éléments pour permettre une évaluation complète des solutions proposées et à partager toute information pertinente pour guider notre sélection. »

Cette DI s’adresse dès lors aussi bien aux opérateurs leaders sur le marché du rapprochement par image qu’aux startups, TPE, PME, centre de recherche ou toute autre entité située en France ou au sein de l’Union européenne.

Le sous-préfet de Mayotte avait déjà procédé de la sorte afin d'identifier les technologies civilo-militaires de surveillance susceptibles de l'aider à ériger un « rideau de fer » tout autour de l'île.

• Mayotte va ériger un « rideau de fer » de technologies civilo - militaires de surveillance

Dans un paragraphe intitulé « protection et propriété intellectuelle des informations communiquées », la DI précise que si la présente demande d’information « ne présente aucun caractère confidentiel », néanmoins, « elle ne peut pas être reproduite ou partagée sans l’accord de l’État », et qu' « aucune réponse ne sera divulguée auprès de tiers sans l’autorisation préalable de son émetteur ».

• Télécharger le Dossier RFI