Fichier TES : des concessions rabotées, des doutes, des regrets et l’épine Amesys

Le ministre de l’intérieur a été invité par la Commission des lois du Sénat pour revenir sur la problématique du fichier des titres électroniques sécurisés. Un fichage de 60 millions de Français publié un week-end de la Toussaint, relevé dans nos colonnes, et qui provoque encore et toujours de vastes remous.

Ce matin, devant les sénateurs, le ministre de l’Intérieur a dit et redit ses réponses aux craintes évoquées par les détracteurs de cette base centralisée. Un risque de sécurité, de piratage ? Que nenni ! Il y aura audit de l’ANSSI, l’agence nationale de la sécurité des systèmes d’information. De même, tout comme le rapport attendu de la direction interministérielle du numérique et du système d'information et de communication (DINSIC), ces résultats seront rendus publics et considérés comme des avis conformes. Conformes, en ce sens que leurs conclusions seront suivies à la lettre par la place Beauvau.

Le même « super flic » a habillé ce fichier de ses plus beaux vêtements. Ainsi TES 2.0, fusion de la base des cartes d’identité et des passeports, s’appuiera sur le fichier TES 1.0 qui ne concerne que ce titre, et qui a montré depuis de longues années son efficacité, sa durabilité et sa solidité.

Bernard Cazeneuve a cependant mis un veto à deux préconisations, poussées notamment par la CNIL. Stocker sur la puce de la CNI les données biométriques des porteurs ? Cela représenterait 100 millions d’euros de surcoût et rendrait la carte payante. C’est trop onéreux et n’apporte pas les gages de fiabilité en cas de perte ou de vol. « Si vous perdez votre carte et vous en demandez le renouvellement, vous devriez tout recommencer » oppose-t-il.

De même, l’usage de gabarits, à savoir les mesures des caractéristiques biologiques, est rejeté. « Le gabarit est d’une qualité inférieure et présente moins de garanties que les minuties » (le relevé des lignes directrices).  

Paroles, paroles, paroles

Surtout, le ministère est revenu sur les engagements claironnés jeudi dernier avec Axelle Lemaire. « Dans le cadre d’une demande ou d’un renouvellement d’une carte nationale d’identité́, le recueil et le versement des empreintes digitales du demandeur du titre seront soumis à son consentement express et éclairé » soutient le communiqué commun toujours accessible sur ce lien.

En fait, Cazeneuve a finalement indiqué que le caractère facultatif du relevé des empreintes ne concernera que le versement dans la base TES, non le recueil. En clair, lors d’une demande ou d’un renouvellement d’une CNI, le citoyen devra toujours offrir ses doigts. La photo des empreintes sera toujours prises, mais conservées sur papier, comme avant la mise en œuvre du « décret Halloween ».

« La prise des empreintes sera facultative pour sa conservation numérique dans la base [...] On perd en simplification, en rapidité, non en sécurité. » Et pour cause : les milliers d’agents, dont ceux du renseignement, pourront toujours consulter ces fiches comme ils le font aujourd’hui. En clair : la concession du jeudi, rabotée aujourd’hui, n’a jamais apporté rien d'autre que l’illusion d’une protection des libertés publiques. D'ailleurs, on ne sait toujours pas s'il y aura un nouveau décret pour mettre à jour ces dispositions, ou si l'Intérieur se satisfera d'une simple instruction. Un véhicule casse-gueule, juridiquement. 

L’implication de la fréquentable Amesys

La sénatrice Esther Benbassa a repris une information révélée par notre consœur Andréa Fradin, à savoir l’implication de la société Amesys dans le périmètre de ce fichier TES. Or, Rue89 rappelle que  « depuis la mort de Mouammar Kadhafi fin 2011, de nombreuses preuves (témoignages, brochures publicitaires…) accusent l’entreprise d’avoir vendu des technologies de surveillance des télécommunications au régime de l’ancien dictateur libyen. Dont il se serait servi pour arrêter et torturer des opposants, en épiant leurs faits et gestes sur Internet ».

À cette mise en cause, Bernard Cazeneuve feint de découvrir ces éléments, pour immédiatement rassurer : « Cette société a été rachetée fin 2010 par Bull, après avoir changé plusieurs fois de mains (…)  La société n’est pas celle dont vous parlez. Son capital a changé depuis ces évènements ». Mais il confirme : la fréquentable Amesys « prendra une partie de la prestation ».

Une « erreur d’appréciation »

Le même ministère a concédé qu’ « incontestablement, nous avons commis une erreur d’appréciation » quant à l’absence de débat préalable sur l’avènement de ce fichier monstre. Mais il persiste et signe sur le choix du décret, compte tenu d’un agenda parlementaire chargé et de la nécessaire confiance à accorder à l’Etat. Tant pis pour les regrets du Conseil national du numérique, de la CNIL et du Conseil d'Etat. 

« Une loi pour faire un règlement ? Je ne le souhaite pas personnellement, fut-ce pour question importante » Pourtant, le gouvernement pouvait très bien passer par ce véhicule législatif comme nous l’a confirmé Pascal Jan, professeur de droit et constitutionnaliste.

Quant au choix de diffuser un tel texte durant un long week-end de Toussaint, histoire de parier sur la discrétion ? Du hasard pur et simple. « Il n'y a pas de perversité du jour férié dans mon ministère » dit, main sur le cœur, Bernard Cazeneuve qui, travaillant tous les jours, « ignore » le concept même de jour férié. « J'ai signé le décret sans me rendre compte de la date à laquelle on était ».

Bref, le « décret Halloween » a été publié dans la nuit de samedi à dimanche 30 octobre dans le plus bel hasard. 

Les doutes de plusieurs sénateurs et de la CNIL

Durant les échanges, plusieurs sénateurs ont néanmoins douté des garanties claironnées encore aujourd’hui. Pour Gaetan Gorce, la base centrale présente un risque par elle-même, et un risque excessif. Et le meilleur moyen de le contrer est de ne pas y recourir. Certes, Cazeneuve a répété qu’il n’y aurait pas de réversibilité possible entre les données biométriques et les données d’état civil, aux fins d’identification d’une personne à l’aide de ses empreintes ou son visage, mais pour ce membre de la CNIL « les techniciens, y compris membres de la CNIL, n’y croient pas ».

Il a du coup embrayé sur des regrets, l’absence d’une étude des alternatives poussées justement par l’autorité indépendante, avec une préférence appuyée pour la puce sur la CNI. En effet, elle aurait eu le mérite de conserver ces informations sensibles sous la seule responsabilité du porteur.

« J'admire votre certitude sur la sécurité informatique. Or, aucun système n'est imprenable ! » Le sénateur Claude Malhuret se souvient aussi que trop souvent les fichiers précédents ont vu leur finalité agrandies à d’autres fins que celles prévues dans les textes initiaux. « Quelles que soient les réponses apportées par la DINSIC et l’ANSSI, un étudiant en première année d’informatique vous dira qu'il est simple de renverser le système. » Et permettre l’identification biométrique.

À l’argument de droit, qui repose sur la décision du Conseil constitutionnel de 2012, le parlementaire devine au contraire qu’il sera simple de passer entre « les mailles du filet ».

« Je vous demande de me croire, implore Bernard Cazeneuve. Le ministère de l'Intérieur est un ministère sérieux ». Avec en poche, une solution en or pour éviter la dégénérescence du fichier : « Que personne ne me succède ». Une petite phrase qui a beaucoup fait rire en Commission des lois.