Fichier TES : le think-tank GénérationLibre porte plainte devant la Commission européenne

Jeu, Tes et match 5
Accès libre
image dediée
Crédits : code6d/iStock
Justice
Marc Rees

Après un échec devant le Conseil d’État, le think-tank GénérationLibre a décidé de porter le fichier TES à l’attention de la Commission européenne. Une plainte a été déposée devant l’institution bruxelloise dans l'espoir de voir la Cour de justice de l'Union saisie. Les chances sont cependant très minces au regard de l'actualité européenne.

Le 18 octobre 2018, le Conseil d’État validait le fichier des titres électroniques sécurisés (TES), une base de données monstre rassemblant la quasi-totalité de la population française. Ce fichier fut créé par un décret publié un week-end de Toussaint, le 30 octobre 2016. D’où son nom de décret Halloween.

Dans ses fiches, l’ensemble des informations relatives aux cartes nationales d’identité et des passeports. On y trouve des données d’état civil, mais aussi biométriques comme la couleur des yeux, la taille, l'image numérisée du visage et les empreintes digitales de tous les Français… Des données accessibles aux agents habilités de la police, des douanes, de la gendarmerie outre ceux des services spécialisés du renseignement, exception faite des informations biométriques.

De vives critiques en France

Après notre première actualité du 31 octobre 2016, ce dispositif avait suscité de vives contestations. La CNIL, préalablement, avait rappelé que « les données biométriques présentent la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s'affranchir ». Des traces « particulièrement sensibles ».

Le Conseil national du numérique s’était ouvertement opposé à ce fichier TES, réclamant sa suspension. Pour répondre à ces critiques, Bernard Cazeneuve, ministre de l’Intérieur, avait pris l’initiative de lancer une analyse menée conjointement par la DINSIC et l’ANSSI. Dans le même temps, le méga fichier était testé dans les Yvelines puis en Bretagne.

TES généralisé, attaqué devant les juridictions administratives

En novembre 2016, les Exégètes amateurs, la Ligue des Droits de l’Homme et le think tank GénérationLibre annonçaient vouloir déposer un recours contre le décret. « On considère notamment que la loi Informatique et Libertés ne suffit pas à fournir base légale au décret, lequel rentre dans des considérations pénales qui lui sont étrangères » nous confiait Me Rubin Sfadj, l’un des membres de GénérationLibre.

Mi-janvier 2017, l’ANSSI et la DINSIC remettent leur rapport d’audit. Le fichier TES « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Elles ajoutent qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveur ne sont pas conformes à l’état de l’art ».

Dans le même temps, l’Institut national de recherche en informatique et en automatique (INRIA) publiait une étude imaginant d’autres voies à la centralisation. Il confirmait que la solution choisie par le ministère de l’Intérieur était en bas du classement en termes de fonctionnalités et de protections contre les atteintes à la vie privée.

L'arrêt du Conseil d’État du 18 octobre 2017

Le 17 février, un arrêté du ministère généralise le fichier TES à toute la France métropolitaine. Le calendrier s’étend jusqu’au 28 mars. La procédure initiée devant le Conseil d’État touche à son terme le 18 octobre 2017. Tous les points soulevés furent rejetés.

En substance, la haute juridiction rejette la demande d'annulation pour excès de pouvoir des textes entourant le fichier TES. Elle estime d’abord que le pouvoir réglementaire, donc le gouvernement, était bien compétent pour prendre un tel texte qui « ne modifie pas les conditions légales auxquelles est subordonnée la délivrance de ce titre [la CNI] », ni celles relatives au passeport. De même, il ajoute que « le décret attaqué » est « suffisamment clair et précis ». Il ne méconnaît pas l’objectif d’accessibilité.

Ensuite, le fichier TES n’est pas contraire aux articles 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et 16 de la Convention des droits de l’enfant. S’il y a ingérences dans la vie privée, elles répondent à des finalités légitimes. Quant à la centralisation, elle est « justifiée par un motif d'intérêt général ». 

De même, si beaucoup ont accès à ces données, ce n’est pas un problème. Pour les gendarmes, douaniers et policiers, il s’agit de vérifier la validité ou l’authenticité d’un passeport ou d’une CNI. Et les agents des services du renseignement n’ont pas accès aux images des empreintes digitales.

De plus, « l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document ».

Enfin, le Conseil d’État balaye l’application du RGPD, postérieure, et juge les traitements parfaitement proportionnels. Les données sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ». Quand bien même la quasi-totalité de la population est fichée.

Une plainte portée devant la Commission européenne

C’est dans ce contexte que GenerationLibre en appelle à la Commission européenne. Dans une plainte adressée à l’institution, le think tank revient à la charge, en poursuivant cette lutte un cran plus haut. 

Ce fichier, insiste-t-il, « constitue une ingérence dans la vie privée des ressortissants français qui est disproportionnée et inadéquate par rapport au but poursuivi en violation du droit de l’Union Européenne ».

Selon lui, ce décret « méconnait les engagements européens précités en ce qu’il viole la protection des données personnelles et le droit au respect de la vie privée des ressortissants français ». De plus, « l’accès aux données collectées est prévu à d’autres fins de police administrative ou judiciaire, dans les cas de prévention ou de répression des atteintes aux intérêts fondamentaux de la Nation et du terrorisme ».

Il rappelle que d’autres moyens étaient envisageables, « moins coercitifs et intrusifs », comme l’usage d’une puce embarquée sur les titres.

Autre levier, l’avis du 10 août 2018 du Contrôleur européen de la protection des données (CEPD). Ce gendarme des données personnelles « considère que le traitement de deux types de données biométriques, image faciale et deux empreintes digitales pour les cartes d’identité n’est pas justifié ».

La question du RGPD

Mais c’est surtout sur le terrain du RGPD que GénérationLibre concentre ses attentions. « Contrairement à l'article 32 du RGPD, à aucun moment, en aucun article le décret attaqué ne préconise la moindre mesure de sécurité concrète », pas même s’agissant des accès. Un véritable défaut de sécurisation qui ferait courir « un risque élevé de vol d’identité » pour l’ensemble des Français, loin du principe de « privacy by design » porté par le règlement européen en son article 25.

Les durées de conservation des données seraient également disproportionnées puisque « supérieures à la durée de validité des titres émis ».

Il réclame aussi la réalisation d’analyses d’impact (article 35 du RGPD), de meilleurs encadrements pour les sous-traitants avec contrôle des possibles transferts hors UE. Enfin, s’agissant des données biométriques traitées, il considère que le fichier TES n’est pas conforme à l’article 9 du règlement.

Quelles pourraient être les suites de cette plainte transmise à la Commission européenne ? Celle-ci pourrait saisir dans la foulée la Cour de justice de l’Union européenne qui, dans quelques années, rendrait alors un arrêt en la matière, si du moins elle s’estime compétente.

De même, un autre front reste possible : celui de la Cour européenne des droits de l’Homme, qui devrait alors être spécialement saisie.

Les chances d’une remise en cause par la Commission européenne sont très minces. Pas plus tard que le 16 avril, le Parlement a ainsi adopté le Common Identity Repository (CIR). Témoignage d'un intérêt porté à ces systèmes centralisés, le CIR est une base de données interconnectées, enregistrant les informations des citoyens non membres de l’UE, gorgées de données personnelles dont... des données biométriques.


chargement
Chargement des commentaires...