Fichier TES : aux députés, Bernard Cazeneuve promet de maigres aménagements

Fichier TES : aux députés, Bernard Cazeneuve promet de maigres aménagements

Marcher sur du velours

Avatar de l'auteur
Guénaël Pépin

Publié dans

Droit

09/11/2016 6 minutes
23

Fichier TES : aux députés, Bernard Cazeneuve promet de maigres aménagements

Devant la commission des lois de l'Assemblée nationale, Bernard Cazeneuve refuse de suspendre le décret créant le fichier de 60 millions de Français. Il propose tout de même d'insérer de nouveaux contrôles, techniques et légaux, que le texte qu'il a signé n'a jamais prévu.

Cet après-midi, le ministre de l'Intérieur a eu une heure à consacrer aux députés pour (enfin) débattre du fichier biométrique de 60 millions de Français, dénommé « TES » (voir notre analyse). Mis en place par un discret décret du 30 octobre, il vise à fusionner deux bases de données pour permettre aux autorités d'accéder aux informations des Français, à partir de leur état civil.

Ce texte, publié sans tambour ni trompette un week-end de Toussaint, a reçu des avis mitigés de la part de la CNIL et du Conseil d'Etat avant sa publication. Depuis, nombre d'acteurs publics et privés se sont inquiétés de ce « fichier monstre », agrégeant l'essentiel des données d'identification des citoyens. Pris sans débat, le décret fait d'ailleurs l'objet d'une consultation publique en ligne du Conseil national du numérique, qui veut peser sur la question.

En parallèle, le ministre de l'Intérieur a tenu à éteindre l'incendie devant les parlementaires. S'il a répété vouloir « expliquer » et « rassurer », il a fini par admettre la possibilité d'ajouter des contrôles et garde-fous, absents du texte initial.

Moderniser, simplifier et protéger la carte d'identité

Aux députés de la commission des lois, Bernard Cazeneuve a d'abord rappelé les objectifs de ce fichier TES étendu. Selon lui, il s'agit surtout de moderniser le système de la carte d'identité, qui aurait peu évolué depuis 1987. Pour lui, le fichier national de gestion est « une très vieille application, obsolète » dont l'une des tares techniques est d'être toujours écrite en COBOL.

Il fallait donc moderniser tout cela, pour faciliter sa maintenance et permettre les échanges dématérialisés des dossiers entre mairies et organismes de l'État. En faisant passer les cartes d'identité sous la houppe du fichier TES, utilisé pour le passeport biométrique, le gouvernement aurait donc choisi de passer par un système dont l'efficacité et la sécurité sont prouvées depuis huit ans. D'ailleurs, il s'agit d'une « technologie que nous maîtrisons parfaitement » estime le ministre.

Tout dématérialiser et regrouper doit aussi réduire les temps de traitement, en supprimant les échanges papier et d'offrir de nouveaux services gratuits aux citoyens. La piste d'une carte d'identité avec carte à puce, passée entre les gouttes de la censure constitutionnelle d'une réforme des titres en 2012, aurait été envisagée, mais annulée pour éviter un surcoût qui aurait rendu la carte d'identité payante. Le dispositif doit, également, protéger contre l'usurpation d'identité.

Pas de piratage ou de détournement possible, promet encore l'Intérieur

Les citoyens n'ont donc rien à craindre de ce fichier, martèle Bernard Cazeneuve. Sa sécurité est « parfaitement pensée, [et sa] résistance avérée depuis huit ans ». Il refuse pourtant de donner plus de détails, compte-tenu de la sensibilité du dossier. Interrogé par des députés sur l'absence de contrôle externe sur ce fichier si essentiel, le ministre de l'Intérieur concède qu'un contrôle annuel d'agences étatiques pourra être ajouté au décret.

« Je suis extrêmement favorable à ce que toutes les expertises possibles soient diligentées sur ce fichier, avant qu'il ne soit activé. Y compris celle de l'ANSSI » affirme Cazeneuve. Un contrôle technique et parlementaire régulier du fichier sera donc possible, sous condition de confidentialité.

Sur la question sensible du détournement du fichier TES de ses finalités, le ministre a encore des réponses fermes. Quand des députés s'inquiètent de l'identification d'une personne depuis ses données biométriques, ce qu'a interdit le Conseil constitutionnel en 2012, Bernard Cazeneuve affirme que c'est impossible, pour des raisons légales et techniques.

Du point de vue légal, il considère la censure d'un précédent fichier par le Conseil constitutionnel en 2012 comme un garde-fou absolu. « Nous écartons totalement l'identification des détenteurs depuis les données biométriques. Une autre majorité ne pourrait pas aller plus loin par décret, il faudrait modifier la Constitution » affirme encore Cazeneuve.

D'un point de vue technique, il ajoute qu'une identification par les données stockées est empêchée par « l'architecture » du système, qui permettrait d'identifier les titres d'identité, et non les personnes. « C'est une technologie radicalement différente de celle censurée par le Conseil constitutionnel en 2012. Nous maintenons la lutte contre la fraude, sans possibilité de remonter à la personne depuis ses données. L'architecture de l'application devrait être totalement rebâtie pour permettre cette identification » détaille-t-il.

Cazeneuve « désireux » de contrôles absents du décret

Tout au long de ses interventions, Bernard Cazeneuve s'est dit à de nombreuses reprises « désireux » d'un débat parlementaire ou de mesures qui n'ont pas trouvé leur place dans le décret, pourtant en préparation depuis au moins le début de l'année.

Pour rassurer sur les éventuels détournements cachés du fichier, le ministre de l'Intérieur est d'ailleurs « désireux qu'il y ait un dispositif de contrôle annuel par les agences concernées et un contrôle parlementaire », qu'il sera possible d'inscrire dans les textes réglementaires. 

Le député Philippe Goujon a rappelé que le ministre de l'Intérieur n'a pas donné suite à une demande de débat parlementaire le 4 novembre. Pour sa part, Lionel Tardy s'est ému de cette position tardive, estimant qu'un débat parlementaire « n'a pas de sens » sans suspension et réécriture du décret. Cazeneuve a refusé toute suspension du texte, mais pense le « compléter ».

La discrétion est la marque que laissera le gouvernement sur ce « mégafichier ». Publié au Journal officiel pendant le pont du 1er novembre, avec des réponses publiques tardives et un débat parlementaire fixé en pleine élection de Donald Trump à la tête des États-Unis, il est difficile de trouver meilleur contexte pour passer sous les radars.

La brièveté des réponses aux questions des parlementaires (à peine cinq minutes) est un autre élément, même si Bernard Cazeneuve se dit prêt à revenir autant de fois qu'il le faudra.

Écrit par Guénaël Pépin

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

Moderniser, simplifier et protéger la carte d'identité

Pas de piratage ou de détournement possible, promet encore l'Intérieur

Cazeneuve « désireux » de contrôles absents du décret

Commentaires (23)


Yep c’est confirmé,



Malgrès l’élection de Trump ils n’ont rien compris et continuent de nous servir la même soupe…








risbo a écrit :



Yep c’est confirmé,



Malgrès l’élection de Trump ils n’ont rien compris et continuent de nous servir la même soupe…





en hiver, c’est bon la soupe ! mangez en.





Cazeneuve a refusé toute suspension du texte, mais pense le « compléter ».





Eh ben si il y pense on est bon! 

Merci Berni&nbsp;<img data-src=" />


Déjà il pense, j’en attendais pas autant <img data-src=" />




Pas de piratage ou de détournement possible, promet encore l’Intérieur

Comme les serveurs blindés de la HADOPI ?

Comme l’affaire des fadettes (espionnage de journalistes) ?



A chaque fois qu’on promet que quelque chose est irréalisable, curieusement, on apprend dans la presse que c’est possible/arrivé.




D’un point de vue technique, il ajoute qu’une identification par les données stockées est empêchée par « l’architecture » du système, qui permettrait d’identifier les titres d’identité, et non les personnes.





On peut détailler? Je comprend pas bien la différence, car un titre d’identité est forcément relié à une personne physique, non? Ou alors c’est comme une clé primaire/unique et que les flic ne peuvent pas utiliser? <img data-src=" />



(no troll et no redface, vrai question hein)


Il ne se souvient peut-être pas d’une des expressions de son PROPRE pays : “impossible n’est pas Français” !

Ce qui est d’autant plus le cas avec l’informatique… On a bien vu le pentagone ouvrir un “bug bounty” sur son réseau avec leur programme “Hack the Pentagon” pour trouver au final plus d’une centaine de failles. Donc Nanard, prends-en de la graine !&nbsp;<img data-src=" />








CreaYouz a écrit :



Déjà il pense, j’en attendais pas autant <img data-src=" />






Tu vas mal finir toi     













Trollalalala a écrit :



Il ne se souvient peut-être pas d’une des expressions de son&nbsp;PROPRE&nbsp;pays :&nbsp;“impossible n’est pas Français” !&nbsp;

Ce qui est d’autant plus le cas avec l’informatique… On a bien vu le pentagone ouvrir un “bug bounty” sur son réseau avec leur programme “Hack the Pentagon” pour trouver au final plus d’une centaine de failles. Donc Nanard, prends-en de la graine !&nbsp;<img data-src=" />





Mais nous c’est pas pareil, le serveur est dans une&nbsp;“bulle sécurisée”, il est “particulièrement protégé” et “à distance solide des réseaux publics” (cf&nbsp;https://www.nextinpact.com/news/102044-la-reponse-bernard-cazeneuve-au-conseil-n…&nbsp;)

&nbsp;Du coup c’est bon t’inquiète pas



C’est Cazeneuve l’obsolète, pas le cobol ! Non mais :-)


Sauf que ceux qui nous préoccupent ce n’est pas le “publique” justement <img data-src=" />



Vu les dernières affaire qui cour sur des anciens du renseignement il y a de quoi s’inquiéter.








Jungledede a écrit :



On peut détailler? Je comprend pas bien la différence, car un titre d’identité est forcément relié à une personne physique, non? Ou alors c’est comme une clé primaire/unique et que les flic ne peuvent pas utiliser? <img data-src=" />



(no troll et no redface, vrai question hein)







De ce que je comprends de sa réponse au CNNum, c’est uniquement les données biométriques (empreintes, photos, etc) qui sont séparées de la base de données des titres (où là t’as probablement une association de ton nom, à un numéro de passeport et à une clé qui renvoie aux données biométriques). Si y’a pas ça, ils sont de toute façon incapables de retrouver les données pour comparer quand tu viens pour renouveler ton passeport, ce qui est un peu le but du truc.



Donc le titre est forcément lié à une personne physique. C’est juste que y’a pas la fonction de recherche via les données, ça veut pas dire que c’est impossible à faire, juste qu’il faut reconstruire la base de données autrement.









Tirnon a écrit :



Sauf que ceux qui nous préoccupent ce n’est pas le “publique” justement <img data-src=" />



Vu les dernières affaire qui cour sur des anciens du renseignement il y a de quoi s’inquiéter.







Tu remets en cause la probité de nos valeureux fonctionnaires du renseignement qui font un travail très exigeant et capital dans une démocratie telle que la notre?

Tu soutiendrais Daesh21 ça m’étonnerait pas <img data-src=" />



Putain, 6 mois…



L’histoire jugera s’il avait raison !


« pour éviter un surcoût&nbsp;qui aurait rendu la carte d’identité payante »

J’ai du mal à croire que mettre les données d’identification (photo, nom) signées et chiffrées avec des clefs du ministère de l’intérieur et stockées sur une carte de stockage «stupide» revienne significativement cher (plus cher qu’une carte SIM).

&nbsp;

&nbsp;

« « l’architecture » du système, qui permettrait d’identifier les titres d’identité, et non les personnes »

Une fois que les données stockées de manière centrale, je doute qu’il y ait la moindre chose empêchant de créer un index de recherche utilisé par des systèmes de reconnaissance faciale. Système qui ne manquera pas d’arriver une fois le changement de bord politique en 2017 (où au retour d’une autre gauche sécuritaire en 2022) après le prochain attentat (qui finira par arriver, même si j’espère que ce soit le plus tard possible).








Jungledede a écrit :



On peut détailler? Je comprend pas bien la différence, car un titre d’identité est forcément relié à une personne physique, non? Ou alors c’est comme une clé primaire/unique et que les flic ne peuvent pas utiliser? <img data-src=" />



(no troll et no redface, vrai question hein)





A mon avis il y a deux solutions:




  • il parle beaucoup de logiciel et non de base de données, &nbsp;ça peut juste vouloir dire qu’il n’y aura pas d’interface permettant aux fonctionnaires (ou autre) de le faire, après rien n’empeche de le faire avec un accès direct à la base (qu’il faut cependant avoir, il est peu probable qu’il y en ait, elle doit être exposée via services,&nbsp; sans possibilité d’exécuter des requêtes directes sans accès direct à la machine).

  • On peut peut-être envisager une clé à sens unique:

    &nbsp;2 tables, une identité nominale, l’autre biométrique, avec&nbsp;un lien&nbsp;identité nominale&nbsp;=&gt; photo mais sans le lien inverse (après rien n’empêche de le reconstruire)









Fabimaru a écrit :



« pour éviter un surcoût&nbsp;qui aurait rendu la carte d’identité payante »

J’ai du mal à croire que mettre les données d’identification (photo, nom) signées et chiffrées avec des clefs du ministère de l’intérieur et stockées sur une carte de stockage «stupide» revienne significativement cher (plus cher qu’une carte SIM).

&nbsp;

&nbsp;

« « l’architecture » du système, qui permettrait d’identifier les titres d’identité, et non les personnes »

Une fois que les données stockées de manière centrale, je doute qu’il y ait la moindre chose empêchant de créer un index de recherche utilisé par des systèmes de reconnaissance faciale. Système qui ne manquera pas d’arriver une fois le changement de bord politique en 2017 (où au retour d’une autre gauche sécuritaire en 2022) après le prochain attentat (qui finira par arriver, même si j’espère que ce soit le plus tard possible).





C’est pas le coût unitaire, mais le coût du prestataire à mon avis…

Pour ce qui est de l’index facial, les Etats Unis en ont déjà un assez efficace avec Facebook, même pas besoin de le faire officiellement. En France on aura bientôt la RATP.

&nbsp;Alors tant qu’à faire, autant que ce soit fait par le gouvernement…. De toutes façons on finira par y venir.



Ne pas oublier la carte Navigo anonyme (+5€)


Je crois me souvenir que sur réquisition d’un juge, on peut faire une recherche et que la Police peut avoir accès à la base de données. (cf le premier article)



Sur le terrain administratif, qui peut accéder à ces traitements ?

Évidemment, les services centraux du ministère de l’Intérieur chargés de

l’application de la réglementation aux titres. Pourront également le

consulter les préfectures, mais aussi les services du renseignement.

Il s’agit de ceux de la police nationale et de la gendarmerie nationale et des agents des nombreux services spécialisés du renseignement, dès lors qu’il s’agira de prévenir ou réprimer les « atteintes aux intérêts fondamentaux de la Nation » et les actes de terrorisme » (L222-1 du Code de la sécurité intérieure).

La direction centrale de la police judiciaire, en lien avec

Interpol&nbsp;ou le système d’information Schengen, profitera du même sésame «

à l’exclusion de l’image numérisée des empreintes digitales ».

Le décret prévoit d’ailleurs que « dans le cadre de ces échanges, des données à caractère personnel [pourront] être transmises aux autorités » étrangères, mais « aux seules fins de confirmer l’exactitude et la pertinence du signalement d’un titre perdu, volé ou invalidé

» (article 4). Un article 6 autorise cependant la France à transmettre à

Interpol&nbsp;et au SI Schengen plusieurs informations comme celles

relatives aux numéros des titres perdus, volés ou invalidés. Pour

Schengen, ce flux pourra d’ailleurs être complété par les nom, prénoms,

date de naissance, date de délivrance du titre.

Les policiers, gendarmes et douaniers, lorsqu’ils contrôleront

l’identité d’une personne accéderont, s’ils le souhaitent, aux données

inscrites sur la puce injectée dans le passeport.


Ça faisait longtemps que j’étais pas passé ici et un article sur cette fameuse BD, génial <img data-src=" />









PCI a écrit :



Pas de piratage ou de détournement possible, promet encore l’Intérieur





<img data-src=" /> plus on dit que inviolable plus ça pousse au crime <img data-src=" />



oui, surtout “que pour certains” c’est “un Sport” de réussir à “craquer” une sécurité !




  • voyons voir SI c’est SI “blindé” qu’ils le disent ?&nbsp;&nbsp; <img data-src=" />


<img data-src=" /> ça fera rire (jaune surement) mais ça serait un bon retour de baton <img data-src=" />








fred131 a écrit :



Je crois me souvenir que sur réquisition d’un juge, on peut faire une recherche et que la Police peut avoir accès à la base de données. (cf le premier article)





Oui, enfin une recherche, s’il n’y a pas de logiciel de reconnaissance faciale c’est un peu compliqué de tout mettre en place pour une simple demande!&nbsp;









Z-os a écrit :



C’est Cazeneuve l’obsolète, pas le cobol ! Non mais :-)





Cobol hates you, Cobol remember Waterworks… (les initiés comprendront)