Le très décrié fichier « Titres électroniques sécurisés » (TES) avait été annoncé lors du long week-end de la Toussaint ; il a été généralisé en plein cœur des vacances de février. Le gouvernement a publié, vendredi 17 février, un arrêté – repéré par le site NextInpact – qui précise le calendrier de son déploiement dans toute la France. Actuellement expérimenté dans les Yvelines et en Bretagne, il entre en vigueur mardi 21 février à Paris, puis sera étendu à tous les départements de France d’ici à la fin du mois de mars.
La publication, en octobre 2016, du décret TES − il ouvre aux cartes d’identité un fichier auparavant réservé aux passeports, qui rassemblera donc à terme les empreintes biométriques de tous les Français – avait suscité une vague de protestation dans la société civile. Il était notamment reproché à ce fichier de collecter massivement des données biométriques sensibles, de créer un puissant outil dont les finalités pouvaient être élargies jusqu’à en devenir abusives, ou encore de représenter une cible de choix pour les pirates informatiques.
En novembre, le gouvernement avait fait deux concessions. La première était de rendre facultatif le versement au fichier TES des empreintes digitales des demandeurs de carte d’identité. « [Ce] refus n’empêchera pas la délivrance du titre », promettaient de concert Bernard Cazeneuve, alors ministre de l’intérieur, et Axelle Lemaire, secrétaire d’Etat au numérique. Problème : le décret TES tel qu’il va entrer en vigueur dans toute la France n’a pas été modifié pour prendre en compte cette concession ministérielle.
Un décret en ce sens est parvenu à la Commission nationale de l’informatique et des libertés (CNIL) qui devrait rendre un avis courant mars. Il prendra ensuite le chemin du Conseil d’Etat avant d’être publié. Pendant ce temps, le TES élargi commencera à être abondé en données biométriques issues des demandes de cartes d’identité.
Quid des citoyens ne souhaitant pas voir leurs empreintes stockées dans ce « mégafichier » ? Dans un courrier aux préfectures daté du 30 janvier, le ministère suggère que les mairies « informent les usagers souhaitant user de cette faculté (…) de différer leur demande [de CNI] jusqu’à publication de ce texte ».
La seconde promesse du ministère, la réalisation d’un audit technique du TES, a débouché sur un rapport, réalisé par l’Agence nationale de sécurité des systèmes d’information (Anssi) et la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (Dinsic), pointant certaines failles et contenant plusieurs préconisations.
Auditionné par les sénateurs le 15 février, le ministre de l’intérieur, Bruno Le Roux, a indiqué que des mesures de sécurisation étaient en cours – les dernières seront finalisées à la fin février, après le début de l’application du TES élargi – et que « les onze recommandations du rapport seront pleinement mises en œuvre ».
Déploiement à marche forcée
Pourtant, interrogé dans la foulée par le président de la commission, il a renvoyé l’éventuelle application de la première d’entre elles, le renforcement des protections cryptographiques sur les données stockées par une « double clé », au « futur gouvernement ». Bernard Cazeneuve et Axelle Lemaire avaient en outre promis, en novembre 2016, que la mise en place du « mégafichier » serait conditionnée à un avis « conforme » de l’Anssi.
Mais si les experts techniques de l’agence ont bien été conviés à la commission d’homologation, celle-ci a « uniquement rendu un avis sur la sécurité du système et non un avis “conforme” », assure-t-on au sein de l’Anssi. Cela n’a pas empêché l’homologation ministérielle. Ce procédé est conforme aux textes en vigueur et l’avis de l’Anssi a été « pleinement pris en compte », fait-on valoir aujourd’hui Place Beauvau.
Ce déploiement du « mégafichier » à marche forcée, échéances électorales obligent, ne rassure pas Philippe Bas, le président (Les Républicains) de la commission des lois du Sénat. « L’audit a permis de vérifier le bien-fondé de plusieurs appréhensions que nous avions exprimées, explique-t-il au Monde. Il a posé la question de la double clé [cryptographique], du stockage des empreintes sous forme de gabarit et fait apparaître qu’on peut se passer du fichier centralisé. Je pense que le gouvernement suit en partie [le rapport d’audit] mais pas totalement. On peut faire le choix qui a été fait, mais je ne suis pas sûr qu’on ait fait le bon choix. »
Martin Untersinger
* LE MONDE | 21.02.2017 à 06h41 • Mis à jour le 22.02.2017 à 16h45 :
http://www.lemonde.fr/pixels/article/2017/02/21/generalise-le-megafichier-tes-ne-dissipe-pas-les-inquietudes_5082696_4408996.htm
Nouvelle attaque en justice contre le fichier TES des détenteurs de carte d’identité et de passeport
Un recours en référé vient d’être introduit devant le Conseil d’Etat au sujet du « mégafichier » biométrique. Une décision devrait intervenir très prochainement.
Le très controversé fichier des titres électroniques sécurisé (TES), généralisé au pas de charge par le gouvernement, est à nouveau attaqué devant la justice. Une procédure en urgence a en effet été lancée le 27 février au Conseil d’Etat, a indiqué au Monde Christophe Lèguevaques, l’avocat pilotant ce recours.
Avec son confrère Jean-Marc Fedida, l’avocat avait déjà attaqué, le 26 décembre dernier, le « décret TES ». Le 24 février, les deux avocats ont également attaqué, devant le Conseil d’Etat, l’arrêté définissant le calendrier d’application de ce « mégafichier » biométrique. Ces recours s’ajoutent à celui déposé en fin d’année par les Exégètes amateurs, un groupe d’activistes qui ont multiplié ces derniers mois les actions en justice contre le gouvernement sur les questions de surveillance numérique. Un troisième recours a été déposé, jeudi 10 novembre par le think tank libéral Génération libre.
« Eléments nouveaux »
En complément de leur nouvelle action sur le fond, Me Lèguevaques et Me Fedida ont entamé une action en référé, estimant que des « éléments nouveaux » justifiant l’intervention immédiate de la justice étaient apparus depuis leur premier recours. Les avocats, agissant au nom de Louis-Georges Tin, président du Conseil représentatif des associations noires (CRAN) et de Didier Bonin, un Toulousain client de Me Lèguevaques, rappellent dans leur mémoire adressé au Conseil d’Etat et que Le Monde a pu consulter les résultats d’un audit informatique commandé par l’Etat dont les résultats ont été connus mi-janvier.
Cette étude, menée par l’Agence nationale de sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’Etat (Dinsic) pointe notamment le risque de détournement de finalité du fichier, plus spécifiquement de le voir utilisé pour identifier une personne à partir de ses empreintes digitales – et non pas seulement pour authentifier un demandeur de titre d’identité.
Les deux avocats font aussi référence à un point de procédure : selon eux, la loi impose que la Dinsic donne un avis pour tout projet dépassant 9 millions d’euros, un montant selon eux largement dépassé par le fichier TES.
« Inégalité de traitement entre les usagers »
Ensuite, les avocats soulignent le fait qu’un décret rendant facultatif le versement des empreintes digitales dans le TES des demandeurs de carte d’identité, conformément aux promesses du gouvernement, est en cours d’élaboration, sans que le gouvernement ne diffère pour autant l’application du fichier TES. Selon eux, cette situation « crée une inégalité de traitement entre les usagers du service public » ; ceux qui demanderont une carte d’identité avant le nouveau décret et qui devront fournir leurs empreintes, et les autres.
Les deux avocats rappellent aussi les travaux de l’Institut national de recherche en informatique et en automatique (Inria) qui, après une étude de l’architecture du fichier TES et de ses alternatives, a conclu que l’option technique retenue par le gouvernement était « une source de risque majeure d’atteinte à la vie privée ».
Les deux avocats mentionnent enfin les arguments déjà évoqués dans leurs premiers recours au fond, notamment le fait que la Constitution impose de passer par la loi pour les questions de respect de la vie privée ou que la règlementation européenne n’impose selon eux aucunement la création d’une base de données biométriques centralisée.
Le Conseil d’Etat devrait convoquer les deux avocats dans les jours qui viennent pour statuer sur leur recours.
Martin Untersinger
Journaliste au Monde
* LE MONDE | 28.02.2017 à 09h57 • Mis à jour le 03.03.2017 à 15h25 :
http://www.lemonde.fr/pixels/article/2017/02/28/nouvelle-attaque-en-justice-contre-le-fichier-tes_5086715_4408996.html
Que reproche-t-on au TES, le « mégafichier » des 60 millions de Français ?
Bernard Cazeneuve a proposé, mardi, aux présidents de l’Assemblée nationale et du Sénat la tenue d’un débat sur ce fichier controversé.
La publication lors du week-end de la Toussaint d’un décret instituant une base de données biométrique des Français a ravivé les craintes des défenseurs des libertés publiques. Le gouvernement a décidé d’intégrer les données des demandeurs de cartes d’identité dans le fichier des passeports – le fichier des titres électroniques sécurisés (TES), qui existe déjà – et d’y stocker les données personnelles, et notamment les empreintes digitales, de tous les titulaires de ces titres d’identité.
Plusieurs associations de défense des droits de l’homme se sont alarmées de l’existence d’un fichier d’une taille inédite depuis la deuxième guerre mondiale et le Conseil national du numérique a appelé le gouvernement à le suspendre.
Données biométriques extrêmement sensibles
Les données biométriques ne sont pas des données comme les autres aux yeux de la loi sur les données personnelles, et la Commission nationale de l’informatique et des libertés (CNIL) est pointilleuse lorsque lui est soumis un fichier biométrique.
D’abord, parce qu’à l’inverse d’un mot de passe par exemple, les données biométriques comme les empreintes digitales ne peuvent pas être changées en cas de piratage ou d’usurpation. Ensuite, il est techniquement possible de récupérer des empreintes digitales laissées par une personne sur les objets qu’elle touche. C’est ce qu’explique la CNIL dans son avis, consultatif, au sujet du fichier TES :
« Les données biométriques présentent la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s’affranchir. Ces données sont susceptibles d’être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu et sont donc particulièrement sensibles. »
« Des photos du visage peuvent être prises et les empreintes digitales relevées sans le consentement de l’utilisateur. Il faut utiliser des éléments biométriques qui nécessitent le consentement », comme par exemple les réseaux veineux de la main, explique Eli Biham, cryptologue et mathématicien israélien de renom qui se bat depuis une dizaine d’années contre un projet de base de données biométriques nationale porté par son gouvernement.
Authentification et identification
Les opposants au fichier TES craignent que ce dernier serve non seulement à authentifier des citoyens, mais également à les identifier. Il s’agit là d’une distinction fondamentale. En effet, un fichier utilisé pour authentifier un individu, en comparant ses empreintes digitales pour s’assurer qu’il s’agit des mêmes que celles qui sont en mémoire, est moins intrusif qu’un fichier utilisé pour identifier un individu, c’est-à-dire obtenir son identité à partir, par exemple, des empreintes digitales.
Le Conseil constitutionnel avait retoqué une base de données similaire, en 2012, au motif qu’elle pouvait servir à identifier, et pas seulement authentifier, des individus. Autre exemple d’une base de données biométrique permettant d’identifier et dont la légalité fait débat, la base AGDREF 2, qui contient les empreintes biométriques, des dix doigts, de sept millions d’étrangers présents légalement et illégalement en France. Elle peut notamment être utilisée pour identifier un individu à partir de ses empreintes. La CNIL avait cité cet argument pour s’opposer, en 2011, à la création de ce fichier, estimant que « si légitimes soient-elles, les finalités invoquées ne justifient pas la conservation de données biométriques telles que les empreintes digitales (…) » et que ce dispositif « pourrait être de nature à porter une atteinte excessive à la liberté individuelle des personnes concernées ».
Le fichier TES tel que prévu par le gouvernement ne permet pas d’identifier, mais seulement d’authentifier, pour lutter notamment contre la fraude aux papiers d’identité. Concrètement, pour s’assurer qu’une personne demandant un document d’identité n’a pas déjà fait des demandes identiques sous d’autres noms, on regardera si ses empreintes ont déjà été enregistrées.
Elargissement des finalités
Mais ce fichier, si son utilisation est aujourd’hui clairement délimitée, pourra voir dans un second temps ses finalités élargies. C’est en tout cas l’une des craintes affichées par ses opposants : l’exemple du fichier des empreintes génétiques, dont les finalités ont été notablement élargies depuis sa création, est fréquemment avancé.
Isabelle Falque-Pierrotin, la présidente de la CNIL, l’évoque dans une interview donnée à l’Agence France-Presse :
« Il est évident que ce n’est pas du tout aujourd’hui dans les finalités du fichier qui a pour vocation de lutter contre l’usurpation d’identité, [mais] cet outil de grande ampleur peut faire craindre qu’il puisse être utilisé à d’autres fins, peut-être pas aujourd’hui mais demain. »
Une critique partagée par le Conseil national du numérique, qui déclare dans un communiqué :
« Les reculs démocratiques et la montée des populismes, observés y compris en Europe et aux Etats-Unis, rendent déraisonnables ces paris sur l’avenir. »
L’outil légal adopté par le gouvernement, un décret et non une loi, laisse en tout cas à ce dernier une plus grande souplesse pour en aménager les modalités. « A partir du moment où la base de 60 millions de personnes est là, on peut ajouter une fonction de recherche par exemple. C’est d’autant plus facile qu’on est sur une base réglementaire, pas besoin d’adopter une nouvelle loi », résume Guillaume Desgens-Pasanau, maître de conférences au Conservatoire national des arts et métiers (CNAM) et magistrat.
Un éventuel aménagement du décret pour permettre l’identification se heurterait cependant aux limites posées par le Conseil constitutionnel dans sa décision de 2012. C’est ce qu’a rappelé le ministre de l’intérieur, Bernard Cazeneuve, dans une lettre adressée lundi 7 novembre au président du Conseil national du numérique. Outre cette limite légale, M. Cazeneuve a expliqué que le fichier était techniquement organisé de sorte qu’il soit impossible de récupérer une identité à partir d’une empreinte digitale. C’est à la CNIL qu’incombe désormais de vérifier si tel est bien le cas, dans le cadre de ses missions de contrôle du fichier.
Un décret plutôt qu’une loi
En amont de la création du fichier TES, le gouvernement a saisi le Conseil d’Etat. Ce dernier a validé le dispositif, en rappelant que, « compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait, il n’est pas interdit au gouvernement, s’il le croit opportun, d’emprunter la voie législative ». Le gouvernement a préféré agir par décret : une option parfaitement légale mais qui a été vivement critiquée, y compris dans ses rangs, par la voix d’Axelle Lemaire, secrétaire d’Etat chargée du numérique.
Quant à Isabelle Falque-Pierrotin, elle explique :
« On passe à un fichier national qui concerne tous les Français. Cela n’a jamais été fait et je crois que cela nécessite un débat au Parlement. Il ne nous paraît pas convenable qu’un changement d’une telle ampleur puisse être introduit, presque en catimini, par un décret publié un dimanche de Toussaint. »
Pour l’avocat spécialiste du droit du numérique Alain Bensoussan, la légalité et l’opportunité du fichier TES, y compris son mode de création, ne fait aucun doute. Cependant, il estime que subsiste un choix d’ordre politique et que la biométrie mérite « un débat citoyen car les droits fondamentaux sont en cause et [elle] devrait faire l’objet d’une loi ».
Mardi, Bernard Cazeneuve a proposé aux présidents de l’Assemblée nationale et du Sénat la tenue d’un débat parlementaire sur ce mégafichier controversé. Dans une lettre aux deux présidents, il estime qu’un tel débat « serait de nature à répondre aux questions formulées au gouvernement » sur ce fichier.
Risque de piratage
Autre inquiétude de la part des opposants au fichier TES : la vulnérabilité à un piratage que représente une base de données contenant autant d’informations personnelles.
« On sait de longue date en sécurité informatique que la centralisation représente une source de risque car elle désigne à un attaquant une cible très tentante, et toute attaque peut avoir des impacts majeurs », explique Claude Castellucia, chercheur en informatique à l’Institut national de recherche en informatique et en automatique (Inria).
Récemment, la base de données de l’administration américaine contenant les données personnelles, dont des empreintes digitales, de 21,5 millions de fonctionnaires américains, a été piratée. Parmi les victimes figurent plusieurs millions de fonctionnaires, dont certains agents des services de renseignement.
En Israël, où un projet pilote de base de données biométrique centralisée est expérimenté depuis quelques années, les dirigeants du Mossad (service de renseignement extérieur) et leurs collègues du Shin Beth (service de contre-espionnage) ont interdit à leurs agents de fournir leurs empreintes digitales, craignant une fuite de données.
Dans sa lettre au président du Conseil national du numérique, M. Cazeneuve a insisté sur les précautions (le chiffrement des données notamment) déployées pour protéger les fichiers d’éventuels piratages.
Base de données pas obligatoire
Le but poursuivi par le fichier TES, celui de lutter contre la fraude documentaire, n’est pas remis en cause par ses opposants. Ces derniers notent cependant qu’une partie au moins des objectifs du fichier auraient pu être atteints sans création de base de données.
C’est le cas, par exemple, de la CNIL, qui « regrette que les dispositifs présentant moins de risques pour la protection des données personnelles, tels que la conservation de données biométriques sur un support individuel exclusivement détenu par la personne, n’aient pas été expertisés ». « Base de données nationale ne signifie pas forcément base de données centralisée physiquement, précise Daniel Le Métayer, chercheur en informatique à l’Institut national de recherche en informatique et en automatique (Inria). Une carte à puce sécurisée contenant une empreinte digitale peut authentifier une personne sans révéler son identité. »
Autrement dit, il est possible de vérifier que la personne qui présente une pièce d’identité est bien celle pour qui ladite pièce a été fabriquée en comparant ses empreintes digitales à celles stockées sur la carte. Une option qui suppose d’équiper les cartes d’identité d’une puce sécurisée, à l’instar des passeports. Or il s’agit d’une opération bien plus coûteuse que la création d’un fichier. Et, selon Libération, ce serait avant tout pour réaliser des économies que l’option du fichier centralisé a été retenue. Un raisonnement reconnu à demi-mot par M. Cazeneuve dans sa lettre : l’opération qui consisterait à munir les cartes d’identité d’une puce serait d’un « équilibre économique non attesté ».
Martin Untersinger
Journaliste au Monde
* LE MONDE | 08.11.2016 à 14h47 • Mis à jour le 08.11.2016 à 15h36 :
http://www.lemonde.fr/pixels/article/2016/11/08/que-reproche-t-on-au-tes-le-megafichier-des-60-millions-de-francais_5027445_4408996.html#xSftq9tLvFG6D3Zq.99