Fichier TES : le think-tank GénérationLibre porte plainte devant la Commission européenne

Fichier TES : le think-tank GénérationLibre porte plainte devant la Commission européenne

Jeu, Tes et match

Avatar de l'auteur
Marc Rees

Publié dans

Droit

24/04/2019 8 minutes
5

Fichier TES : le think-tank GénérationLibre porte plainte devant la Commission européenne

Après un échec devant le Conseil d’État, le think-tank GénérationLibre a décidé de porter le fichier TES à l’attention de la Commission européenne. Une plainte a été déposée devant l’institution bruxelloise dans l'espoir de voir la Cour de justice de l'Union saisie. Les chances sont cependant très minces au regard de l'actualité européenne.

Le 18 octobre 2018, le Conseil d’État validait le fichier des titres électroniques sécurisés (TES), une base de données monstre rassemblant la quasi-totalité de la population française. Ce fichier fut créé par un décret publié un week-end de Toussaint, le 30 octobre 2016. D’où son nom de décret Halloween.

Dans ses fiches, l’ensemble des informations relatives aux cartes nationales d’identité et des passeports. On y trouve des données d’état civil, mais aussi biométriques comme la couleur des yeux, la taille, l'image numérisée du visage et les empreintes digitales de tous les Français… Des données accessibles aux agents habilités de la police, des douanes, de la gendarmerie outre ceux des services spécialisés du renseignement, exception faite des informations biométriques.

De vives critiques en France

Après notre première actualité du 31 octobre 2016, ce dispositif avait suscité de vives contestations. La CNIL, préalablement, avait rappelé que « les données biométriques présentent la particularité de permettre à tout moment l'identification de la personne concernée sur la base d'une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s'affranchir ». Des traces « particulièrement sensibles ».

Le Conseil national du numérique s’était ouvertement opposé à ce fichier TES, réclamant sa suspension. Pour répondre à ces critiques, Bernard Cazeneuve, ministre de l’Intérieur, avait pris l’initiative de lancer une analyse menée conjointement par la DINSIC et l’ANSSI. Dans le même temps, le méga fichier était testé dans les Yvelines puis en Bretagne.

TES généralisé, attaqué devant les juridictions administratives

En novembre 2016, les Exégètes amateurs, la Ligue des Droits de l’Homme et le think tank GénérationLibre annonçaient vouloir déposer un recours contre le décret. « On considère notamment que la loi Informatique et Libertés ne suffit pas à fournir base légale au décret, lequel rentre dans des considérations pénales qui lui sont étrangères » nous confiait Me Rubin Sfadj, l’un des membres de GénérationLibre.

Mi-janvier 2017, l’ANSSI et la DINSIC remettent leur rapport d’audit. Le fichier TES « peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en œuvre pour relier les données d’identification alphanumériques aux données biométriques ». Elles ajoutent qu’un « certain nombre de vulnérabilités de gravité variable » ont été relevées lors des tests d’intrusion. « La configuration et les pratiques d’administrations de certains équipements du centre serveur ne sont pas conformes à l’état de l’art ».

Dans le même temps, l’Institut national de recherche en informatique et en automatique (INRIA) publiait une étude imaginant d’autres voies à la centralisation. Il confirmait que la solution choisie par le ministère de l’Intérieur était en bas du classement en termes de fonctionnalités et de protections contre les atteintes à la vie privée.

L'arrêt du Conseil d’État du 18 octobre 2017

Le 17 février, un arrêté du ministère généralise le fichier TES à toute la France métropolitaine. Le calendrier s’étend jusqu’au 28 mars. La procédure initiée devant le Conseil d’État touche à son terme le 18 octobre 2017. Tous les points soulevés furent rejetés.

En substance, la haute juridiction rejette la demande d'annulation pour excès de pouvoir des textes entourant le fichier TES. Elle estime d’abord que le pouvoir réglementaire, donc le gouvernement, était bien compétent pour prendre un tel texte qui « ne modifie pas les conditions légales auxquelles est subordonnée la délivrance de ce titre [la CNI] », ni celles relatives au passeport. De même, il ajoute que « le décret attaqué » est « suffisamment clair et précis ». Il ne méconnaît pas l’objectif d’accessibilité.

Ensuite, le fichier TES n’est pas contraire aux articles 8 de la Convention européenne de sauvegarde des droits de l'homme et des libertés fondamentales et 16 de la Convention des droits de l’enfant. S’il y a ingérences dans la vie privée, elles répondent à des finalités légitimes. Quant à la centralisation, elle est « justifiée par un motif d'intérêt général ». 

De même, si beaucoup ont accès à ces données, ce n’est pas un problème. Pour les gendarmes, douaniers et policiers, il s’agit de vérifier la validité ou l’authenticité d’un passeport ou d’une CNI. Et les agents des services du renseignement n’ont pas accès aux images des empreintes digitales.

De plus, « l'interconnexion du système de traitement n'est prévue qu'avec les systèmes d'information Schengen et INTERPOL et ne porte que sur des informations non nominatives relatives aux numéros des passeports perdus ou volés, au pays émetteur et au caractère vierge ou personnalisé du document ».

Enfin, le Conseil d’État balaye l’application du RGPD, postérieure, et juge les traitements parfaitement proportionnels. Les données sont « adéquates, pertinentes et non excessives au regard des finalités pour lesquelles elles sont collectées et pour lesquelles elles sont traitées ultérieurement ». Quand bien même la quasi-totalité de la population est fichée.

Une plainte portée devant la Commission européenne

C’est dans ce contexte que GenerationLibre en appelle à la Commission européenne. Dans une plainte adressée à l’institution, le think tank revient à la charge, en poursuivant cette lutte un cran plus haut. 

Ce fichier, insiste-t-il, « constitue une ingérence dans la vie privée des ressortissants français qui est disproportionnée et inadéquate par rapport au but poursuivi en violation du droit de l’Union Européenne ».

Selon lui, ce décret « méconnait les engagements européens précités en ce qu’il viole la protection des données personnelles et le droit au respect de la vie privée des ressortissants français ». De plus, « l’accès aux données collectées est prévu à d’autres fins de police administrative ou judiciaire, dans les cas de prévention ou de répression des atteintes aux intérêts fondamentaux de la Nation et du terrorisme ».

Il rappelle que d’autres moyens étaient envisageables, « moins coercitifs et intrusifs », comme l’usage d’une puce embarquée sur les titres.

Autre levier, l’avis du 10 août 2018 du Contrôleur européen de la protection des données (CEPD). Ce gendarme des données personnelles « considère que le traitement de deux types de données biométriques, image faciale et deux empreintes digitales pour les cartes d’identité n’est pas justifié ».

La question du RGPD

Mais c’est surtout sur le terrain du RGPD que GénérationLibre concentre ses attentions. « Contrairement à l'article 32 du RGPD, à aucun moment, en aucun article le décret attaqué ne préconise la moindre mesure de sécurité concrète », pas même s’agissant des accès. Un véritable défaut de sécurisation qui ferait courir « un risque élevé de vol d’identité » pour l’ensemble des Français, loin du principe de « privacy by design » porté par le règlement européen en son article 25.

Les durées de conservation des données seraient également disproportionnées puisque « supérieures à la durée de validité des titres émis ».

Il réclame aussi la réalisation d’analyses d’impact (article 35 du RGPD), de meilleurs encadrements pour les sous-traitants avec contrôle des possibles transferts hors UE. Enfin, s’agissant des données biométriques traitées, il considère que le fichier TES n’est pas conforme à l’article 9 du règlement.

Quelles pourraient être les suites de cette plainte transmise à la Commission européenne ? Celle-ci pourrait saisir dans la foulée la Cour de justice de l’Union européenne qui, dans quelques années, rendrait alors un arrêt en la matière, si du moins elle s’estime compétente.

De même, un autre front reste possible : celui de la Cour européenne des droits de l’Homme, qui devrait alors être spécialement saisie.

Les chances d’une remise en cause par la Commission européenne sont très minces. Pas plus tard que le 16 avril, le Parlement a ainsi adopté le Common Identity Repository (CIR). Témoignage d'un intérêt porté à ces systèmes centralisés, le CIR est une base de données interconnectées, enregistrant les informations des citoyens non membres de l’UE, gorgées de données personnelles dont... des données biométriques.

5

Écrit par Marc Rees

Tiens, en parlant de ça :

Sommaire de l'article

Introduction

De vives critiques en France

TES généralisé, attaqué devant les juridictions administratives

L'arrêt du Conseil d’État du 18 octobre 2017

Une plainte portée devant la Commission européenne

La question du RGPD

Le brief de ce matin n'est pas encore là

Partez acheter vos croissants
Et faites chauffer votre bouilloire,
Le brief arrive dans un instant,
Tout frais du matin, gardez espoir.

Commentaires (5)


Je suis loin d’être fan de Gaspard Koenig et génération libre mais l’action a au moins l’intérêt de soulever la question des fichiers de masse détenus par l’Etat et son administration, étant rappelé que des dérives sont révélées chaque semaine notamment avec des fichiers “parallèles” du fait du mouvement des GJ.



A l’inverse, on est entré dans une sorte d’extase béate du fait du RGPD dont beaucoup s’apprêtent à fêter en sautillant les un an de l’entrée en vigueur “l’heure d’un premier bilan”, alors que les deux grands risques que sont le fichage généralisé par les Etats (même les mairies avec la smartcity) et le traitement de masse des données de tous par les GAFAS se portent à merveilles, se foutant royalement de la réglementation en matière de données à caractère personnel.



Donc même si l’action a très peu de chance d’aboutir, tout élément permettant de réaxer le débat des données personnelles sur les libertés et droits fondamentaux est bon à prendre.


J’ai  le sentiment que ni l’un ni l’autre n’aient été jamais un but à part entière du GDPR. Si le traitement massif par l’Etat (souvent sur la base d’une excuse sécuritaire) est sorti du règlement depuis presque toujours, celui-ci a deux objectifs parallèles: permettre le traitement de données et protéger la vie privée.



Un bilan pertinent de sa mise en application et surtout des politiques mise en oeuvre sur cette base est donc vraiment souhaitable (s’il peut déjà être fait) afin d’avoir un peu plus de prévisibilité, et savoir si la mise en oeuvre répond aux attentes qu’on en avait. Au vu de quelques pistes (réception hors UE, mesures mises en place par les responsables, conscience des sujets du problème) et à mon avis purement personnel, probablement que le résultat n’est ni noir ni blanc, mais moins noir que la situation précédente.








bloossom a écrit :



J’ai  le sentiment que ni l’un ni l’autre n’aient été jamais un but à part entière du GDPR. Si le traitement massif par l’Etat (souvent sur la base d’une excuse sécuritaire) est sorti du règlement depuis presque toujours, celui-ci a deux objectifs parallèles: permettre le traitement de données et protéger la vie privée.



Un bilan pertinent de sa mise en application et surtout des politiques mise en oeuvre sur cette base est donc vraiment souhaitable (s’il peut déjà être fait) afin d’avoir un peu plus de prévisibilité, et savoir si la mise en oeuvre répond aux attentes qu’on en avait. Au vu de quelques pistes (réception hors UE, mesures mises en place par les responsables, conscience des sujets du problème) et à mon avis purement personnel, probablement que le résultat n’est ni noir ni blanc, mais moins noir que la situation précédente.





J’en suis pas certain hélas.



Par exemple en matière de droit du travail, le RGPD est une régression:




  • là où les représentants du personnel pouvaient solliciter ce qu’on nomme aujourd’hui le registre des traitements, c’est plus le cas (sauf personne publique).

  • De même, là où à minima la CNIL était informée de l’existence de tel ou tel traitement dans la boite à défaut celle-ci était dans l’irrégularité, c’est plus le cas de sorte que notamment sur la CNIL intervient systématiquement après et plus en amont pour certains traitements potentiellement sensibles.

  • En particulier, la question des dispositifs GPS a totalement démuni la CNIL qui ne peut plus limiter la casse alors que pas mal de boites se sont lancées dans le déploiement de ces dispositifs pour contrôler les salariés sous prétexte que tout est ok à partir du moment où il y a une information préalable. Heureusement la chambre sociale de la Cour de cassation a stoppé ce mouvement du fait d’une décision protectrice mais qui précisément ne se fonde pas sur la réglementation relative à la protection des données à caractère personnel.



    L’usine à gaz qu’est la notion de sous-traitant, dont en réalité il conviendrait de parler de délégation pour que juridiquement on sache de quoi on parle, fait que pas mal de responsables de traitement de déguisent en sous-traitant. Certes la manœuvre ne tiendra pas en cas de contrôle de la CNIL, mais c’est jamais bon signe lorsque les principaux acteurs d’une réglementation tentent massivement d’échapper à celle-ci.



    Après un an d’entrée en vigueur la formation des DPO reste largement perfectible et je passe sur le fait que des notions clefs ne sont toujours pas définie comme le traitement à grande/large échelle alors que cette notion déclenche ou non des obligations majeures.



    Je te l’accorde le RGPD a permis de mettre en lumière la question de la protection des données à caractère personnel donc c’est un point positif, mais cela ne doit pas masquer le fait que la réglementation reste illisible pour beaucoup (permettant au passage la démultiplication d’escroqueries jouant sur des notions ou obligations mal définies pour faire peur) et est dans bien des situations très mal pensée.



La question des sous-traitants est en effet un problème lié à la mise en oeuvre, et non à la construction du règlement. Le vrai problème de politique législative réside plus dans l’écart de force immense qui peut exister entre le sous-traitant et le responsable au détriment de celui-ci alors que c’est bien lui qui supporte le fardeau lié à la “compliance”.



Pour le reste, je suis assez d’accord avec toi bien que je ne sois pas un spécialiste du droit du travail et que je ne voie pas de problème à ce qu’il y ait des règles particulière traitant des situations particulières de traitement liées au travail. C’est d’ailleurs le cas dans bon nombre de systèmes juridiques.



Concernant l’illisibilité par contre, je pense qu’il faut faire une distinction entre ce qui s’est dit en général, et ce qui s’est dit chez les spécialistes. Certes, il y a eu un effet de communication assez important, et certains escrocs ont saisi l’opportunité, mais la plupart des responsables en ont simplement profité pour se mettre à jour. On a aussi beaucoup entendu hurler au loup des responsables du traitement jugeant qu’il était impossible de se conformer à des obligations existant déjà dans la directive précédente, et procédant à un traitement qui était déjà dans l’illégalité.



C’est clairement pas la panacée, et le plus gros du travail, soit créer suffisamment de prévisibilité par la jurisprudence, les guidelines, les codes de conduite, la formation des DPO, etc reste à faire, mais ce défaut existait déjà avant. Le point sur lequel je suis plus circonspect, c’est de savoir si le cadre technique, social et économique autour permettra de faire ce travail avant qu’il soit nécessaire de tout reprendre à zero.



Probablement qu’on discute pour savoir si le verre est à moitié vide ou à moitié plein <img data-src=" />








bloossom a écrit :



Probablement qu’on discute pour savoir si le verre est à moitié vide ou à moitié plein <img data-src=" />





Je pense que le RGPD était nécessaire mais n’est qu’une étape sur un long chemin pour que la réglementation des données à caractère personnel soit cohérente et efficace. Donc oui on discute du niveau de remplissage du verre&nbsp; ^^