Fichier TES : de sa publication au Journal officiel à sa validation par le Conseil d'Etat

TES, au stérone 37
Accès libre
image dediée
Crédits : Marc Rees (licence CC-BY-SA 3.0)
Loi
Marc Rees

Le Conseil d’État a validé la semaine dernière le fichier des titres électroniques sécurisés (TES), rassemblant la quasi-totalité de la population française. Retour sur ce traitement depuis sa publication au Journal officiel jusqu’à sa consécration par la haute juridiction administrative.  

Le décret publié un week-end de pont, le 30 octobre 2016, a donné naissance au fichier TES. Avec lui, près de 60 millions de Français, porteurs d’une carte nationale d’identité ou d’un passeport, se sont retrouvés fichés en une seule base.

Dans ses serveurs : l’état civil, la couleur des yeux, la taille, l’adresse, la filiation des parents, l'image numérisée du visage et en principe des empreintes digitales de tous les Français, outre l'image numérisée de la signature du demandeur, son adresse email et ses coordonnées téléphoniques s'il passe par une procédure à distance, etc. 

Selon l’article 3 de ce décret, exception faite des données biométriques, ces informations sont accessibles aux agents habilités de la police, des douanes, de la gendarmerie et de tous les services spécialisés du renseignement, ceux œuvrant pour la prévention des atteintes aux intérêts fondamentaux de la nation.

Les regrets de la CNIL et du Conseil d'État 

Rapidement après notre actualité du 31 octobre 2016, ce dispositif avait suscité une vague de contestations.

Déjà, la CNIL tirait la sonnette d'alarme dans sa délibération publiée le même jour au J.O. : « les données biométriques présentent la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s'affranchir ».

Ainsi, « ces données sont susceptibles d'être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu et sont donc particulièrement sensibles ». La commission regrettait par la même occasion le choix du véhicule par le gouvernement.

Un projet de loi aurait eu en effet le mérite d’un débat public au Parlement, précédé d’une solide étude d’impact, dont sont dépourvus par définition les décrets. Une suggestion partagée par le Conseil d’État, à la dernière ligne de son avis mis en ligne quelques jours plus tard.

Impassible, l’exécutif lui a préféré la procédure issue de l'article 27-l-2° de la loi du 6 janvier 1978. Un article qui explique que les traitements mis en œuvre pour le compte de l'État, portant sur des données biométriques, sont autorisés par décret en Conseil d’État pris après avis motivé et publié de la commission. 

La CNIL avait également reproché de ne pas avoir envisagé une autre option : l’introduction d’une puce sur la carte d’identité. Un tel dispositif aurait été « de nature à faciliter la lutte contre la fraude documentaire, tout en présentant moins de risques de détournement et d'atteintes au droit au respect de la vie privée ».

Entre une base centralisée rassemblant 60 millions de personnes et un éparpillement des informations sensibles sur autant de cartes d’identité, on ne se retrouve en effet pas face aux même risques.

Les craintes du Conseil national du numérique

Le 7 novembre 2016, le Conseil national du numérique réclamait la suspension intégrale du fichage des 60 millions de Français. Il reprochait alors l’absence d’échange préalable avec une communauté d’experts, qui « aurait certainement pu permettre au gouvernement d’explorer des alternatives techniques plus résilientes et respectueuses des droits des citoyens, tout en permettant d’atteindre les mêmes objectifs ». 

Autre crainte : une possible extension des finalités du traitement, taillé aujourd’hui pour l’authentification ou l’identification, mais demain, au fil des faits d’actualités graves, ouvert à « l’identification systématique de la population avec les moyens de la reconnaissance faciale ou de la reconnaissance d’image, à des fins policières ou administratives ». 

Enfin, le CNNum rappelait qu’ « en matière de sécurité informatique, aucun système n’est imprenable. Les défenses érigées comme des lignes Maginot finissent immanquablement par être brisées ».

En contraste avec la décision verticale du gouvernement, le conseil ouvrait deux jours plus tard une plateforme collaborative pour débattre en ligne du sujet. 

Cazeneuve devant les députés, les prémices d'actions

Le même jour, devant la Commission des lois à l'Assemblée nationale, Bernard Cazeneuve opte pour l'ouverture soudaine : « Je suis extrêmement favorable à ce que toutes les expertises possibles soient diligentées sur ce fichier, avant qu'il ne soit activé. Y compris celle de l'ANSSI ». 

Le ministre de l’Intérieur d’alors tente de rassurer : « Nous écartons totalement l'identification des détenteurs depuis les données biométriques. Une autre majorité ne pourrait pas aller plus loin par décret, il faudrait modifier la Constitution » assurait-il. Et celui-ci de se montrer favorable à « un dispositif de contrôle annuel par les agences concernées et un contrôle parlementaire ». 

Contrôle, expertise, protection... néanmoins la généralisation de TES est enclenchée sur deux zones de tests. Au Journal officiel du 5 novembre 2016, le gouvernement publiait un premier arrêté visant à appliquer le mégafichier dans les Yvelines à compter du 8 novembre. La Bretagne suivait le 1er décembre de la même année.

Les messages rassurants de l'Intérieur n'ont pas vraiment eu le poids espéré. Entre le 8 et le 10 novembre, les Exégètes amateurs, la Ligue des Droits de l’Homme et le think tank GénérationLibre préviennent de leur volonté de déposer un recours contre le décret. « On considère notamment que la loi Informatique et Libertés ne suffit pas à fournir base légale au décret, lequel rentre dans des considérations pénales qui lui sont étrangères » nous confiait Me Rubin Sfadj, l’un des membres de GénérationLibre, pressentant une atteinte disproportionnée à la vie privée, comme ce fut déjà sanctionné en 2012 par le Conseil constitutionnel. 

Deux réformes annoncées

Le 10 novembre, Bernard Cazeneuve écrivait au Conseil national du numérique pour annoncer deux réformes à venir « Dans le cadre d’une demande ou d’un renouvellement d’une carte nationale d’identité, le recueil et le versement des empreintes digitales du demandeur du titre dans la base TES seront soumis à son consentement exprès et éclairé » soutenait-il.

Ainsi, après modification du texte, ceux « qui ne souhaitent pas voir leur empreinte versée à la base nationale sécurisée pourront s’y opposer. Ils ne bénéficieront pas du service public associé à ce recueil, mais leur liberté leur en sera laissée ». À cet instant, nous nous demandions s’il pourrait exister une fonction de recherche destinée à identifier les individus s’étant opposés à un tel traitement... Ce n’est qu’en mai 2017 que cette promesse fut consacrée par un nouveau décret

Selon sa présentation, il « permet au demandeur d'une carte nationale d'identité de refuser la numérisation et l'enregistrement de ses empreintes digitales dans le traitement automatisé de données à caractère personnel dénommé Titres électroniques sécurisés. Dans un tel cas, les empreintes sont recueillies sur le dossier papier de demande de carte nationale d'identité conservé par le service instructeur ».

Pas d'alternative à la centralisation

Autre point annoncé : l’Agence nationale de la sécurité des systèmes d'information (ANSSI) et la Direction interministérielle du numérique et du système d'information et de communication de l'État (DINSIC) sont chargées de réaliser un audit de TES.

Dans sa lettre de saisine, révélée par Next Inpact le 18 janvier 2017, Cazeneuve insistait bien pour que les deux entités planchent seulement sur « le fichier TES existant », sans imaginer donc d’autres alternatives. Mi-novembre, devant la commission des lois au Sénat, le même ministre s’oppose d'ailleurs à la solution préconisée par la CNIL, à savoir le stockage des données biométriques sur la carte nationale d'identité : « Si vous perdez votre carte et vous en demandez le renouvellement, vous devriez tout recommencer », argumentait-il.

Devant la même commission, la présidente de la CNIL déplorait malgré tout qu’« aucun autre système n’ait été étudié et présenté comme voie alternative [par l’Intérieur]. Cela n’a pas été discuté avec la CNIL. On n’a pas été saisi d’un dispositif d’alternatif ». Témoignage que l’Intérieur tenait absolument à un système centralisé des données personnelles, et notamment biométriques, des Français.

« En constituant cette base, on franchit un pas dans le type de société qui est la nôtre, insistait encore Isabelle Falque-Pierrotin. La menace terroriste est évidente (…) Mais est-ce que pour autant cette menace justifie que l’État constitue un fichier qui enregistre de manière permanente et indélébile des données biométriques sur l’ensemble de la population, ceci permettant le cas échéant d’identifier les personnes ? »

Comme annoncé par les Exégètes, la Quadrature du Net passait à l’attaque début 2017, pour sa vingtième procédure contentieuse. Sans surprise, elle critiquait à la porte du Conseil d’État un traitement disproportionné au regard des finalités affichées.

Le rapport ANSSI-DINSIC

Mi-janvier 2017, l’ANSSI et la DINSIC remettaient leur rapport d’audit. Comme demandé par le ministre, les alternatives sont volontairement oubliées, mais les conclusions très mitigées. Ainsi, ce système d'une robustesse cazneuvienne « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques » écrivaient-elles. 

Page 9 du document, on découvrait même qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveur ne sont pas conformes à l’état de l’art ». Seulement, ces failles ont été classées secrète défense pour éviter toute exploitation.

Cet audit sera diversement commenté :

Version Bruno Le Roux, nouveau ministre de l'Intérieur :

« Je prends pleinement acte des conclusions de ce rapport, qui établissent clairement que le système « TES » est « compatible avec la sensibilité des données qu’il contient », dans son architecture comme dans ses conditions d’usage. J’ajoute que le rapport établit que les usages de ce système par les agents de préfecture et ceux de l’Agence nationale des titres sécurisés, le cas échéant à la demande de la police judiciaire ou des autorités judiciaires, sont pleinement conformes aux textes qui régissent ce traitement de données. »

Version Isabelle Falque-Pierrotin, présidente de la CNIL :

« Cet audit conclut au fait que, si « les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient », la sécurité globale du système est perfectible et que de nouvelles mesures de gouvernance, d’exploitation et de sécurité doivent être mises en place par le ministère de l’Intérieur ».

Les alternatives imaginées par INRIA, oubliées par Cazeneuve

En février 2017, l’Institut national de recherche en informatique et en automatique (INRIA) publiait l’étude que ne souhaitait pas lire Bernard Cazeneuve. Celle répertoriant les voies alternatives à la centralisation.

Elle dressait cinq scénarios, dont quatre oubliés par l’exécutif, en attribuant des scores à chaque piste. L’une des architectures remporte la palme en terme de fonctionnalités et de protections contre les atteintes à la vie privée. Ce n’est pas celle qui fut choisie par le décret TES.

Le 17 février, un arrêté du ministère de l’Intérieur programme la généralisation du fichier TES à toute la France métropolitaine selon un calendrier s’étendant du 21 février au 28 mars. Dans un arrêté publié le 13 septembre, le mégafichier est étendu à toutes les « demandes de cartes nationales d'identité présentées dans les postes diplomatiques et consulaires français à compter du 15 septembre 2017 ». 

Fin février 2017, deux avocats rejoignent le front ouvert par la Quadrature et la Ligue des Droits de l’Homme au Conseil d’État. Rapport de l’Anssi et de la Dinsic en mains, ils estiment qu’il existe « un risque majeur d’atteinte à la vie privée sans que le gain escompté pour la finalité affichée (lutte contre la fraude documentaire) puisse être atteint ».

L'arrêt de validation du mégafichier TES

C'est dans ce contexte que s'inscrit l’arrêt rendu la semaine dernière, à la demande de l'association GénérationLibre, la Ligue des droits de l’Homme, la Quadrature du Net et d’autres personnes. Toutes plaident pour l’annulation du fameux décret.

Cependant, les arguments ont été rejetés l'un après l'autre. D’abord, aux requérants qui considéraient que seul le législateur aurait pu intervenir pour modifier les conditions de délivrance de la carte nationale d’identité, la haute juridiction administrative répond que le texte « ne modifie pas les conditions légales auxquelles est subordonnée la délivrance de ce titre », ni d’ailleurs celles relatives au passeport.

En conséquence, ce décret n’ayant « ni pour objet ni pour effet de fixer des règles relatives aux garanties fondamentales accordées aux citoyens pour l'exercice des libertés publiques », le pouvoir règlementaire a pu adopter ce décret sans malmener les compétences du législateur.

Toujours sur le terrain de légalité externe, le simple fait que « ce traitement a vocation à contenir les données de la quasi-totalité de la population française » a été jugé sans incidence.

Balayé également l’argument relatif à l’absence de la signature des ministres de Bercy ou de la Justice, en bas du décret. « Les actes du premier ministre sont contresignés, le cas échéant, par les ministres chargés de leur exécution » a-t-il été expliqué, assurant que ce décret ne comporte « nécessairement l'intervention d'aucune mesure réglementaire ou individuelle que [ces ministres] seraient compétents pour signer ou contresigner ».

Enfin, l’avis du Conseil national du numérique qui n’a pas été requis était en réalité optionnel. Une simple faculté, comme l’expose sans détour le droit en vigueur.

De la conformité à la Convention de sauvegarde des droits de l'Homme

Sur la légalité interne, a été épinglée d’une part, une « méconnaissance de l'objectif de valeur constitutionnelle d'accessibilité et d'intelligibilité du droit ». Argument réduit en poudre par le Conseil d’État, sans longs développements : « Contrairement à ce que soutiennent les requérants, le décret attaqué, suffisamment clair et précis, ne méconnaît pas cet objectif ».

Le point central a concerné l'article 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et le 16 de la Convention des droits de l’enfant. Textes qui conditionnent les ingérences dans la vie privée d’une personne ; il faut en effet que ces ingérences répondent « à des finalités légitimes et que le choix, la collecte et le traitement des données [soient] effectués de manière adéquate et proportionnée au regard de ces finalités ».

Là encore, aucune des critiques n’a été retenue. Ce traitement est destiné à « préserver l'intégrité des données à caractère personnel nécessaires à la délivrance des titres » rétorque le Conseil d’État. En outre, TES aiguise la lutte contre la fraude. Quant à la centralisation de l’ensemble des données des porteurs, elle est « justifiée par un motif d'intérêt général », ajoute-t-il, non sans se satisfaire de l’impossibilité supposée « d'identifier une personne à partir de ses données biométriques ».

Dans cette fonction d’authentification, en outre, « l'accès à ce traitement ne peut se faire que par l'identité du porteur du titre d'identité, à l'exclusion, en raison des modalités mêmes de fonctionnement du traitement, de toute recherche à partir des données biométriques elles-mêmes ». 

Beaucoup de personnes peuvent accéder aux données du fichier TES, mais la juridiction relativise. S’agissant des gendarmes, des douaniers et des policiers, ce n’est que pour vérifier la validité ou l’authenticité d’un passeport ou d’une CNI. Quant aux agents des services du renseignement, l’accès aux images des empreintes digitales leur est prohibé.

Enfin, « l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document ».

Bref, cela fait du monde, mais tout est bordé, bien encadré. Pareillement, les délais de conservation n’ont pas été jugés problématiques (jusqu’à 20 ans, suivant les situations et l’âge du demandeur), contrairement à ce que laissaient entendre les requérants. Ces durées sont justifiées par la durée de validité des titres.

Au final, le C.E. juge donc que la collecte des données biométriques et la centralisation des données ne sont en rien critiquables. « Compte tenu des restrictions et précautions dont ce traitement est assorti », ces dispositions sont en pleine harmonie avec les finalités du traitement. Il n’y a pas d’atteinte disproportionnée à la vie privée. 

Exit le RGPD

Cette même proportionnalité a été constatée à l’égard de la directive de 1995 sur les traitements des données à caractère personnel. Les données sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement » répondent les juges, à l’appui de leurs explications.

D’ailleurs, ils ont au passage évacué la conformité au RGPD, puisqu’entré en vigueur seulement le 25 mai 2018, soit bien postérieurement à la publication du fichier TES au J.O. et à l’introduction des demandes des requérants. 

Enfin, à ceux qui reprochent au ministre de l'Intérieur de nier « la réalité de l'insécurité permanente », la même juridiction répond que ces reproches ne concernent que les obligations du responsable du traitement, sûrement pas l’acte règlementaire portant sa création.

Inutile en conséquence d’invoquer l'article 34 de la loi du 6 janvier 1978 qui exige des mesures de sécurité « pour préserver la sécurité des données et, notamment, empêcher qu'elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès ».

Les requérants n’ont donc pas été fondés à demander l'annulation pour excès de pouvoir des textes entourant le fichier TES. Les juges n'ont plus estimé utile d’ordonner une expertise et encore moins de saisir la Cour de justice de l’Union européenne d’une question préjudicielle.


chargement
Chargement des commentaires...