Le coup de griffe du Conseil national du numérique sur le fichage de 60 millions de Français a généré une réponse atomique de la part de Bernard Cazeneuve. Le ministre a aiguisé sa plus belle plume pour déconstruire l’argumentaire du CNNum, non sans évincer plusieurs points.
Cette lettre en date du 7 novembre veut ainsi démonter, l'une après l’autre, les critiques adressées par cette instance. Les unes touchent à la forme, les autres au fond, notamment à la question des finalités et de la sécurité.
L’absence de concertation
Dans son communiqué, le CNN le regrette : la publication de ce décret instaurant un fichier monstre a été faite « sans aucune concertation préalable et minimisée dans ses conséquences depuis lors par le Gouvernement ». De même, il déplore l’absence d’un « dialogue avec les communautés d’experts », lequel « aurait certainement pu permettre au Gouvernement d’explorer des alternatives techniques plus résilientes et respectueuses des droits des citoyens, tout en permettant d’atteindre les mêmes objectifs ».
Le ministre a une autre grille de lecture de cette prose. Par ces propos, analyse-t-il dans une lettre ouverte, le Conseil déplore « que le projet n‘ait pas fait l’objet d’un débat interministériel ».
Ce présupposé permet à Bernard Cazeneuve d’embrayer sur les chapeaux de roue : voilà une observation « dénuée de réalité », puisque que le sujet « a été soumis au contreseing de tous les Ministres concernés et au Premier ministre, après les consultations interministérielles habituelles ». De même, l’ensemble des ministères avait été informé de ce chantier notamment dans une communication du Conseil des ministres le 16 décembre 2015.
De fait, le CNNum ne nie pas l’existence de réunions interministérielles sur le sujet, simplement l’absence de consultations auprès d’experts. De même, Il égratigne le texte du « gouvernement », non l’absence de réunion interministérielle, nuance.
La DINSIC et le fichier TES
Deuxièmement, le CNN demande à l’exécutif d’ « initier une réflexion ouverte en impliquant les experts numériques au sein de l’État comme la DINSIC (Direction interministérielle du numérique et des systèmes d’information et de communication) et au sein de la société civile avec le CNNum ».
Cazeneuve répond au contraire qu’en amont, « le projet a été travaillé par les services du ministère dans la plus grande transparence, avec le concours très actif du secrétariat général à la modernisation de l’action publique, qui a accepté une mission d’appui à la réforme des préfectures ». Mieux, « la DINSIC a par ailleurs reçu en juillet 2016 un dossier très complet sur toute la démarche et son calendrier, en particulier sur le traitement TES ». Bref, que demande le peuple ?
Au Sénat, le 26 octobre dernier, il a été rappelé que « les projets informatiques qui requièrent un investissement de 6 millions à 9 millions d'euros sont systématiquement soumis à l'examen de la DINSIC, et lorsque l'investissement dépasse les 9 millions d'euros, la DINSIC doit émettre un avis conforme ».
Or, dans sa réponse, l’intérieur ne dit pas que la DINSIC a fourni un avis conforme sur ce projet. Il faut donc imaginer que le seuil des 9 millions n’a pas été atteint puisque s’il y avait eu un tel avis, jamais la Place Beauvau ne se serait privée de le signaler aux impertinents de Bercy. En somme, il n’y a qu’une certitude : la DINSIC s’est vu remettre des documents (un « dossier très complet », non « un dossier complet »), mais pas plus.
L’intervention du Parlement
Toujours selon la lecture de l’Intérieur, le CNNum « semble ensuite regretter que ce projet n’ait pas été soumis au Parlement ». Le ministre répond que l’objet de ce décret « ne rendait pas nécessaire le recours à la loi ; ce point a été vérifié à plusieurs reprises, par mes soins, soucieux que je suis du respect de la séparation des prérogatives des pouvoirs législatif et réglementaire ».
Prenant appui sur l’avis du Conseil d’État, il souligne que le recours au vecteur réglementaire est même « conforme à l’article 27 de la loi n° 78-17 du 6 février 1978 relative à l’informatique, aux fichiers et aux libertés ». « Quant à la Commission nationale de l’informatique et des libertés (CNIL), saisie par mes soins » ajoute le ministre, « elle a reconnu dans son avis que le recours à une procédure réglementaire n’était pas contestable juridiquement. »
Là encore, l’Intérieur décrit le verre à moitié vide, ignorant plusieurs centilitres dans le fond de la bouteille de ces avis. En particulier la dernière ligne de celui de la haute juridiction administrative : « compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait, il n’est pas interdit au Gouvernement, s’il le croit opportun, d’emprunter la voie législative ».
Un argumentaire partagé par la CNIL : « S'agissant enfin de la vigilance collective quant à ce type de traitements, la Commission relève que, compte tenu, d'une part, de la nature de cette base, relative aux titres d'identité, et, d'autre part, des débats relatifs à la protection de l'identité intervenus à l'occasion de l'adoption de la loi du 27 mars 2012 susvisée, le Parlement devrait être prioritairement saisi du projet envisagé ».
Celle-ci insistant : « les enjeux soulevés par la mise en œuvre d'un traitement comportant des données particulièrement sensibles relatives à près de 60 millions de Français auraient mérité une véritable étude d'impact et l'organisation d'un débat parlementaire. »
Personne n’a contesté la légalité du décret, mais tous ont opposé que ces questions de société sont beaucoup trop lourdes pour se passer d’un grand débat.
En guise de bouée, le ministère précise avoir « dès le 27 octobre transmis des informations au président de la commission des lois du Sénat, qui souhaitait pouvoir apporter des précisions à plusieurs sénateurs, en lui faisant savoir par ailleurs que je me tenais à la disposition du Parlement pour donner toute précision sur ce décret. J’ai d’ailleurs eu l’occasion, lors des questions aux Gouvernements du mercredi 2 novembre, de le faire moi-même devant les députés ».
Ce courrier deux jours avant la diffusion au Journal officiel et cet échange de quelques minutes à l’Assemblée nationale peuvent-ils combler ce vide démocratique ? Jugeant sans doute l'argumentaire un peu maigre, l’Intérieur a proposé finalement qu’un débat parlementaire soit tenu sur ces questions. Cette décision, prise aujourd’hui, se manifestera déjà demain par une audition en commission des lois dès 14h. Mais le débat interviendra après publication de ce texte, qui est désormais en vigueur en attendant les arrêtés d’application.
La question des finalités
Le CNNum craint aussi un élargissement des finalités. Aujourd’hui, le fichier TES est ciblé pour la bonne administration des titres sécurisés et assurer l’authentification du porteur. Il n’a pas le tiroir supplémentaire ouvert en 2012, à savoir l’identification d’une personne à partir de données biométriques.
Mais le Conseil se souvient de « l’histoire récente » qui « nous enseigne que la constitution de tels fichiers a régulièrement conduit à l’élargissement de leurs finalités initiales, qu’ils s’opèrent dans un cadre légal (comme pour le système Eurodac des demandeurs d’asile, le fichier des demandeurs de visa ou encore le STIC) ou hors de tout contrôle (rappelons que l’absence d’encadrement était, jusqu’à une époque récente, caractéristique de l’activité des services de renseignement) ».
Bref, le seul doute du CNNum n’est pas de savoir s’il y aura extension, mais simplement quand. « Penser que notre pays ferait exception revient à ignorer les leçons de l’histoire et des comparaisons internationales. Les reculs démocratiques et la montée des populismes, observés y compris en Europe et aux États-Unis, rendent déraisonnables ces paris sur l’avenir ».
L’intérieur rappelle, à raison, que le Conseil constitutionnel avait censuré le précédent de la loi du 27 mars 2012 sur l’identification. « Pour mémoire, [sa] censure […] portait en effet non pas sur la création d’un fichier commun aux CNI et aux passeports, mais sur la possibilité qu’ouvrait la loi de consulter ou d’interroger ce fichier à des fins de police administrative ».
Et désormais, « le traitement ne comporte aucune possibilité d’identifier une personne à partir de ses seules données biométriques (empreintes ou photos). Il se limite à permettre l’authentification des demandeurs, aux seules fins de vérifier l’identité de la personne demandant le titre ».
Des verrous ont été en outre placés pour éviter le scénario catastrophe craint par le CNNum : « les données biométriques sont en effet conservées dans une base distincte et séparée de celle des demandes de titres. Et le lien qui les unit est asymétrique : ainsi, il est possible de consulter la base contenant les données biométriques à partir de la base contenant les demandes de titres, mais pas l’inverse. Il est donc impossible de consulter les données relatives aux personnes à partir des données biométriques. Ce blocage technique est garanti par une cryptographie spécifique et un lien unidirectionnel ».
Bref, une telle extension serait peu probable puisqu’il faudrait passer entre les gouttes de la décision de 2012, prévoir un nouveau texte et « reconstruire une toute nouvelle architecture technique ». Un tel argumentaire sera évidemment à soumettre politique à l’épreuve du temps.
Sur la question de la sécurité
Comme déjà expliqué hier, le CNNum pense que « le choix de la centralisation revient à créer une cible d’une valeur inestimable, face à des adversaires qui ne sont pas des amateurs. En matière de sécurité informatique, aucun système n’est imprenable. Les défenses érigées comme des lignes Maginot finissent immanquablement par être brisées ».
Le fichier monstre sera-t-il victime d’une telle exploitation comme le craignait également Jean-Jacques Urvoas en 2012 ? Que nenni, selon Bernard Cazeneuve : « les bases de l’application centrale sont protégées de plusieurs manières. Des outils cryptographiques sont mis en œuvre pour les données biométriques. De même, les pièces justificatives sont cryptées. Des barrières physiques (HSM, pare-feux…) sont également déployées et le système TES bénéficie d’une bulle sécurisée et de serveurs dédiés ».
En outre, le réseau n’est pas connecté à internet « mais interne au ministère de l’Intérieur. Il s’agit donc d’une application qui est conservée à distance solide des réseaux publics, comme l’est la base TES depuis 2008 ». Ainsi, le risque serait donc limité à une exploitation par un agent, alors que les accès à TES sont tous tracés.
Sur la question des alternatives
La CNIL comme le CNNum ont expliqué qu’il était possible d’envisager d’autres alternatives pour protéger davantage encore la vie privée des personnes fichées. L’attention s’est notamment portée sur la puce intégrable sur la CNI depuis la loi de 2012, mais jamais entrée en œuvre. L’avantage ? En stockant en son sein les données biométriques, on casserait la centralisation organisée par TES, au profit d’une solution placée dans les seules mains du porteur de la carte.
« Il s’agit d’un tout autre projet, à l’équilibre économique non attesté » rétorque Bernard Cazeneuve. Seul hic, il n’évalue pas ouvertement les coûts respectifs, sur l’autel de la vie privée et de la nécessaire sécurité des titres. De fait, cette information aurait été normalement disponible dans le cadre d’une étude d’impact. Annexée aux projets de loi, elle permet de jauger systématiquement toutes les alternatives en explicitant les raisons des mises à l’écart.
Commentaires (45)
#1
On peut prendre le sujet sous tous les angles, le fait que créer un tel monstre et inadmissible et la nature humaine étant ce qu’elle est, il y aura forcément des dérives, et peut-être pire, des fuites.
#2
soucieux que je suis du respect de la séparation des prérogatives des pouvoirs législatif et réglementaire
Nanard copyright 2016. Il faudra s’en souvenir de celle la ^^
#3
Bref, une telle extension serait peu probable puisqu’il faudrait passer entre les gouttes de la décision de 2012, prévoir un nouveau texte et « reconstruire une toute nouvelle architecture technique ». Un tel argumentaire sera évidemment à soumettre politique à l’épreuve du temps.
Un sql update et le tour est joué…..
#4
De toutes façons, aux dires de Audrey Azoulay et de sa devancière Christine Albanel, si on est protégé par l’antivirus LibreOffice, on ne risque rien !
#5
#6
la dernière ligne de celui de la haute juridiction administrative : « compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait, il n’est pas interdit au Gouvernement, s’il le croit opportun, d’emprunter la voie législative ».
Pourquoi les mecs font des doubles négations de ce genre… C’est complétement débile. Ils pensent que c’est plus “poli” ou “diplomatique” comme ça ?
Quand on en vient à tourner a jouer avec les mots de cette façon pour dire à qqn qu’il doit arreter de faire de la merde, comment voulez-vous que les mecs en face cherchent pas eux aussi à jouer sur les mots et à contourner autant que possible ?
On en est à un tel stade de “politesse” que plus personne ne dit à personne qu’il fait de la merde donc tout le monde à l’impression de bosser correctement…
#7
J’ai pas bien compris, ça va servir à quoi ce truc à part nous ficher tous ?
" />
" />
#8
Cette décision, prise aujourd’hui, se manifestera déjà demain par une audition en commission des lois dès 14h. Mais le débat interviendra après publication de ce texte, qui est désormais en vigueur en attendant les arrêtés d’application.
https://www.youtube.com/watch?v=yFE6qQ3ySXE
#9
A mieux lutter contre la fraude de ton ID ou le renouvellement et autre merda comme cela, et oui c’est chère payé de ficher tout le monde pour juste “ça”.
#10
#11
Le débat démocratique c’est définitivement surfait comme notion.
Enfin, le point positif c’est qu’au fur et à mesure des gouvernements ils sont de moins en moins hypocrites sur le thème : “La démocratie, nous on s’en fou”.
#12
Du coup, ça se passe comment quand il y aura des fuites ? Le gentil monsieur qui récupère mes infos à tous les documents pour se faire passer pour moi. Donc pour faire reconnaître l’usurpation d’identité, ça risque d’être compliqué.
#13
Ayez confiansssse…
#14
Ce sont des réponses de petit garçon sage pris le doigt dans le pot de confiture !
" />
Si Marc avait fait le pont, ça ne serait pas arrivé ! Pauvre Bernard.
#15
Bref, que demande le peuple ?
Qu’ils arrêtes de nous emmerder jusqu’au prochain gouvernement ,qui nous emmerdera tout autant, de mon avis perso.
#16
https://www.youtube.com/watch?v=dQw4w9WgXcQ
" />
#17
Firewall LibreOffice, pas antivirus. Il ne faut pas tout confondre non mais. ;-)
Notre gvt montre là encore sa conception de la démocratie… :‘(
#18
Françaises, français, je vous ai compris !
Maintenant, arrêtez de nous emmerder, on vous écoute pas.
Bisous.
#19
Je ne me souviens pas que le fichage voulu par Sarkozy ait fait tant de bruit (par empreintes digitales).
Ils font presque ce qu’ils veulent… Ils sont en roues libres…
#20
Hey nanard joue moi du pipeau…! https://www.youtube.com/watch?v=e6QZCU9rTiw <= pitié ne cliquez pas sur ce lien, je vous aurais prévenu…
" />
Je prépare mon départ, les valises sont faites je vais passer un coup de fil à Depardieu pour savoir comment devenir Russe !! Ou sinon ça sera Chinois !!
#21
Serveurs sous WIndows Server 2002 bien sûr ?
Ou Debian oldstable en mode “on mettra à jour à la prochaine oldstable” ?
#22
Les droite/extreme-droite bientôt au pouvoir, sont déjà en train de rédiger leur loi pour mettre des caméras de flicage partout et faire de la reconnaissance faciale avec ce fichier, merci le PS de les encourager
" />
#23
Qq soit l’issue de ce débat, merci à NXI et Marc qui ont été les premiers à repérer le décret d’application du schmilblick publié en loussedé durant le we de la Toussaint par le gouvernement…
" />
Info (et analyse) depuis largement reprise par tous les medias d’information main-stream qui n’on jamais cité NXI…
#24
start ironie :
" />
Mais non tu n’as rien compris, c’est pour lutter contre les terroristes…
Et puis pourquoi faire des lois pour le FN alors qu’elles sont parfaites pour le PS ?
stop ironie ;
Sinon j’aime ton pseudo ! Et ton image… Sale punk !
#25
Heu… Actuellement ce ne sont pas eux au pouvoir et pourtant c’est déjà le cas…
" />
Commentaire contradictoire.
#26
Il a des enfants cazeneuve ? Est il fier de l’héritage qu’il va léguer ? Quand il fera le bilan, il s’en rendra compte ou pas ?
#27
#28
#29
#30
Qu’est-ce que tu n’as pas compris dans “start ironie” ?
Ça doit être le mot en anglais. start = début (dans ce contexte)
Donc faire tout un discours là-dessus, c’est dommage.
#31
et encore plus vu que tout passe comme une fleur
bèè - bèè les moutons de panurge
#32
Mais alors… Bernard Cazeneuve sera dans le fichier lui aussi ?
Mazette, on va pouvoir en récupérer des casseroles.
#33
des airs de ressemblance :
https://youtu.be/xVDED8iGJSI
#34
Trollalalala a écrit “:start ironie :” Je sais pas comment le mettre plus gros mais ça semble lisible quand même… Lire les commentaires avant d’écrire n’importe quoi 
" /> A moins que ça soit le mot ironie qui ne passe pas…!
#35
#36
La réalité dépasse parfois la fiction. ;)
Une Base de Données pour les gouverner tous,
Une Base de Données pour les trouver,
Une Base de Données pour les amener tous,
Et dans les ténèbres les lier.
#37
#38
#39
tu le dis toi même il y avait du centre gauche également. Nan la je te parle de la bonne vieille droite extrême comme des colonels en argentine, des généraux au brésil ou du pinochet au chili. Ou encore du gouvernement d’apartheid en afrique du sud, en passant par nos jolis pays européens ou encore des petits japonnais.
" />
" />
Enfin quoi du vrai du lourd sans opposant ou composant avec un autre type de parti une fois au pouvoir…..on va quand même pas se faire em par ces c de gauchiste
d’façon les autrichiens c’est des faibles d’avoir accepté des centre gauche
#40
#41
oui mais nan, nous c’est pas pareil, manu vient d’une famille ayant connu la dictature franquiste, du coup il a des vieux réflexes pavlovien
#42
N’oubliez pas le where
" />
#43
Ca fait partie des techniques d’enfumage.
Par exemple ils ne disent pas “un mensonge” mais “une contre-vérité”.
#44
En fait il n’y a que certains lecteurs de NXi qui s’autopersuadent de cela (et oui en groupe on se croit plus intelligent), vu qu’il n’a jamais été question de cela dans le texte et vu que ce fichier ne sert pas à faire de l’identification (lire l’artice aide à ne pas écrire n’importe quoi)…
De même que d’autres lecteurs s’autopersuadent que techniquement une authentification est différente d’une recherche multicritères.
Il suffit d’avoir joué un peu avec une base de données SQL pour comprendre que c’est strictement la même chose, si vous pouvez faire l’un vous pouvez automatiquement faire l’autre.
En fait partir du moment ou vous avez les données, vous pouvez tout faire, et même si il y a un blocage logiciel au début, le faire sauter sera extrêmement simple.
Et puis c’est pas comme si il n’y avait pas d’antécédents. Les gogos qui souhaitaient des caméras de “vidéoprotection” parce qu’ils n’ont “rien à cacher” sont en train de découvrir qu’elles peuvent leur coller des PV pour mauvais stationnement, et ce n’est que le début.