Titres électroniques sécurisés (TES) : Débats sur un traitement centralisé de données à caractère personnel

Le 28 octobre 2016, la création d’un traitement de données à caractère personnel a été autorisée par décret : le système TES. Pour les libertés fondamentales, et contre les cybermenaces, interrogations et inquiétudes se soulèvent.

Créé par un décret du 30 avril 2008, le système TES dispose déjà dans sa base de l’intégralité des 29 millions[1] de passeports, selon le ministère de l’Intérieur. Le décret du 28 octobre 2016 (« décret TES ») apporte un changement d’échelle majeur. Les titres électroniques sécurisés ne se limitent plus aux seuls passeports, mais s’étendent aux cartes nationales d’identité (CNI).

Dans les années à venir, la quasi intégralité de la population française sera concernée, soit près de 60 millions de Français sur 66 millions d’habitants. Autrement dit, est visé par ce fichier tout citoyen français d’au moins 12 ans, titulaire, présent ou passé, d’une carte d’identité ou d’un passeport.

Pour autant, est-il légitime de craindre le retour d’une « chasse aux Français »[2], plus de quarante ans après SAFARI, le premier ancêtre du TES ?

Pour apporter des éléments de réponse à cette question, les finalités et le contenu de la nouvelle version du système TES (I) seront d’abord envisagés. Ensuite, le débat sur la méthode choisie par le Gouvernement pour le « décret TES » sera posé (II). Enfin, les inquiétudes sur le système TES lui-même seront exposées (III).

 

I. Finalités et contenu du nouveau système TES

 

Avant tout, il faut poser cette question préalable : « De quoi le TES est-il nom ? ». En conséquence, après l’étude de ses finalités (A), sera envisagée celle de son contenu (B).

A. Finalités du TES

 Pour « moderniser l’Administration », le Gouvernement souhaite regrouper et harmoniser les données de deux fichiers existants : le fichier national de gestion (FNG), et le TES, respectivement consacrés aux CNI et aux passeports. Triples sont les finalités :

– simplifier et sécuriser la délivrance de titre;

– fiabiliser la base informatique des données;

– prévenir la fraude documentaire (falsifications, contrefaçons, usurpations d’identité, etc).

Cette démarche s’intègre dans celle plus globale du Plan « Préfectures Nouvelle Génération » (PPNG). Son objectif est d’apporter de nouveaux services plus efficaces aux usagers, et de moderniser l’organisation des services déconcentrés de l’État. Le PPNG vise à renforcer l’action de l’Etat dans quatre domaines prioritaires : la lutte contre la fraude documentaire, la gestion locale des crises, le contrôle de légalité et l’ingénierie territoriale.

Plus spécifiquement, le décret du 28 octobre 2016 porte deux finalités de modernisation, selon l’ancien ministre de l’Intérieur, Bernard Cazeneuve :

– la première est de moderniser le traitement des CNI. Sa base de données pour leur délivrance, le FNG, « touche à l’obsolescence et contraint à un archivage papier des photos ou empreintes produits par les requérants » ;

– la seconde finalité du « décret TES » est de moderniser la relation entre les services et les usagers, grâce au développement des téléprocédures qui « facilitent les démarches des usagers tout en renforçant la sécurité des procédures ».

Les finalités du TES identifiées, quel contenu (B) recouvre le TES, et son décret ?

B. Contenu du TES

Conformément à l’article 2 du décret du 28 octobre 2016, le contenu du TES relève d’abord de l’état civil : noms, prénoms, date et lieu de naissance, sexe, données relatives à la filiation. D’autres données à caractère personnel s’y ajoutent ensuite : couleur des yeux, taille, adresse. Sous conditions[3], l’adresse de messagerie électronique et les coordonnées téléphoniques peuvent aussi y figurer. Enfin, des données biométriques[4] comme le visage, deux empreintes digitales (sauf pour les mineurs de moins de 12 ans), et la signature du demandeur du titre y sont numérisés en images.

La durée de conservation des données reste inchangée par rapport à celle de lege lata : respectivement 15 ans et 20 ans pour les données relatives au passeport et à la CNI. Si le titulaire est mineur, ces durées sont diminuées de 5 ans, soit 10 et 15 ans (article 9 du décret).

L’accès au fichier TES n’est autorisé qu’aux personnes limitativement énumérées aux articles 3 à 5 du décret (environ 2000[5]). Deux cas principaux d’habilitation peuvent être distingués.

Premier cas, « à raison de leurs attributions et dans la limite du besoin d’en connaître » (article 3, I du décret) ou « dans le cadre de leur mission de recueil de la demande et de remise des titres » (article 3, II du décret), certains agents de l’Etat peuvent consulter « tout ou partie » des données du TES. A titre d’exemples, ce sont – sous conditions – des agents des ministères de l’Intérieur et des Affaires étrangères (article 3, I, 1° du décret), des agents des préfectures et des sous-préfectures chargés de la délivrance des titres (article 3, I, 2° du décret).

Second cas, « pour les besoins exclusifs de leurs missions », des policiers et gendarmes, des agents des services de renseignement peuvent consulter – sous conditions – toutes les données du TES, sauf les empreintes digitales (article 4 du décret), et sauf la signature, pour des agents des communes, et des officiers des douanes notamment (article 5 du décret).

Pour éviter les « réquisitions de confort », « les consultations, créations, modifications ou suppressions de données font l’objet d’un enregistrement comprenant l’identification de leur auteur ainsi que la date, l’heure et la nature de l’opération. Ces informations sont conservées pendant cinq ans à compter de l’enregistrement » (article 9, II du décret).

Après avoir déterminé le TES, dans son contenu, et ses finalités, il est permis d’introduire le débat (II) sur le décret du 28 octobre 2016 qui l’autorise : le « décret TES ».

 

II. La méthode du « décret TES » en débat

 

Le manque de concertation préalable (B) au « décret TES » a transformé une partie du débat actuel en polémique (A).

A. Polémique sur le « décret TES »

Depuis sa publication, le décret du nouveau TES fait l’objet, si ce n’est d’un « tir de barrage », du moins d’une « levée de boucliers ». Institutions, universitaires[6], professionnels du droit[7], politiques[8], syndicats, associations, médias[9], citoyens[10], nombreux sont ceux à avoir fait part de leurs interrogations.

Par son ampleur, ratione materiae et ratione personae, et sa nature, centralisée et informatisée, le TES fait naître débats, et même inquiétudes, au regard de l’exhaustivité et de la sensibilité[11] de ses données. Entre état d’urgence et menaces terroristes, la protection des droits fondamentaux des citoyens suscite la controverse.

En première ligne, des institutions de référence ont émis des réserves, voire des objections : le Conseil d’Etat, la Commission nationale de l’informatique et des libertés (CNIL), le Conseil national du Numérique (CNNum). Allant plus loin, des syndicats et associations ont demandé la suspension[12], et même l’abrogation[13] du décret.

Pourquoi une telle opposition contre le nouveau TES, que ses détracteurs appellent « fichier des gens honnêtes », « méga(-)fichier », « fichier monstre », le « fichier du 30 octobre », ou encore le « décret Halloween »?[14] La méthode suivie par le Gouvernement pour le « décret TES » – si elle est légale – n’a pas manqué d’être critiquée (B).

B. Manque de concertation préalable au « décret TES »

Sur la forme, les conditions d’élaboration et de publication du décret ont fait l’unanimité contre elles. Le manque de concertation préalable est principalement en cause. Le questionnement a été d’autant plus vif que, quelques mois avant, la loi pour une République numérique avait fait l’objet d’une consultation d’une ouverture inédite.

Malgré sa réussite, la méthode de concertation qu’avait alors mené la secrétaire d’Etat chargée au numérique, Axelle Lemaire, n’avait pas été reprise par le Gouvernement. A tel point que, le 7 novembre 2016, l’intéressée a elle-même dénoncé un décret « pris en douce par le ministère de l’Intérieur, un dimanche de la Toussaint, en pensant que ça passerait ni vu ni connu. C’est un dysfonctionnement majeur ».

Le même jour que la publication de cette dernière déclaration, dans un courrier au Président du CNNum, Bernard Cazeneuve, alors ministre de l’Intérieur, a défendu la « méthode suivie » en deux points. D’une part, la phase de décision politique a fait l’objet d’un « débat interministériel »[15]. D’autre part, en amont, les services du ministère ont travaillé « dans la transparence »[16].

Ex ante, pourtant, le Conseil d’Etat avait suggéré au Gouvernement que, « compte tenu de l’ampleur du fichier envisagé et de la sensibilité des données qu’il contiendrait », il ne lui était « pas interdit », « s’il le croyait opportun, d’emprunter la voie législative ». Plus allante, la CNIL avait estimé que « le Parlement devait être prioritairement saisi du projet envisagé ».

Ex post, le CNNum a soutenu qu’« un dialogue avec les communautés d’experts aurait certainement pu permettre au Gouvernement d’explorer des alternatives techniques plus résilientes et respectueuses des droits des citoyens, tout en permettant d’atteindre les mêmes objectifs ».

En réaction aux critiques, quatre aménagements ont été réalisés dans un communiqué de presse conjoint, de M. Cazeneuve et Mme. Lemaire, du 10 novembre 2016 :

– la possibilité pour tout citoyen de refuser le versement de ses empreintes, sans empêcher la délivrance du titre ;

– la mise en place du dispositif sur l’ensemble du territoire, qu’après l’homologation de sécurité du système et des procédures, par l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) et la Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’État (DINSIC) ;

– la présentation des évolutions du TES au Parlement pour qu’il en exerce un suivi en continu ;

– l’engagement d’« impliquer de manière continue les organes d’expertise techniques, les autorités indépendantes et à rester à l’écoute des attentes de la société́ civile ».

Selon l’avis du CNNum du 12 décembre 2016, « le Gouvernement a ouvert un dialogue constructif avec le Parlement et la société civile ». Toutefois, malgré les efforts de communication et de conciliation a posteriori, le Gouvernement n’a pas apaisé toutes les inquiétudes (III) sur le TES, comme traitement de données à caractère personnel.

 

III. Inquiétudes sur le TES pour les libertés fondamentales et contre les cybermenaces

 

Centralisées (A) et informatisées (B), les informations collectées par le TES préoccupent tant pour les libertés fondamentales, que contre les cybermenaces.

A. TES centralisé : Inquiétudes pour les libertés fondamentales

Le choix contesté de la centralisation, par les facilités de recherche et de conservation qu’il offre[17], comporte un risque de détournement des finalités initiales du TES[18]. Les conséquences d’une telle éventualité « imposent des garanties substantielles et une vigilance particulière » selon l’avis de la CNIL.

Plus la quantité et la sensibilité des données personnelles traitées sont grandes, plus le danger d’un dévoiement augmente…[19] Une crainte topique serait l’identification des détenteurs de titres – au lieu de l’authentification de titres – par la police ou l’administration, grâce aux moyens de reconnaissance faciale ou d’image[20].

Toutefois, l’ancien ministre de l’Intérieur, Bernard Cazeneuve a exclu cette éventualité au motif d’une double « impossibilité », « juridique » (censure des fins d’identification par le Conseil constitutionnel en 2012), et « technique » (« cryptographie[21] spécifique » et « lien unidirectionnel »)[22]. Seulement, cette dernière affirmation est contredite par l’ANSSI et la DINSIC dans leur rapport d’audit :

« […] le système TES peut techniquement être détourné à des fins d’identification […] ».

L’Inria (Institut national de recherche dédié au numérique) le confirme dans sa note d’analyse :

« […] il suffirait d’interroger la base de données avec les noms des personnes susceptibles d’en faire partie (par exemple tous les citoyens français) pour reconstituer la base complète avec les liens bidirectionnels. »[23]

A l’heure de la « montée des populismes » en Europe et aux Etats-Unis, la menace de « dérives autoritaires » est la plus redoutée. Comme le rappelle l’Observatoire des Libertés et du Numérique (OLN), « les fichiers centralisés ne font pas les régimes autoritaires, mais tout régime autoritaire s’appuie sur un fichage de sa population ». C’est le fameux spectre d’un « Big Brother[24] is watching you », où l’ensemble de la société française serait sous surveillance.

Moins abstraites que les libertés fondamentales, les cyberattaques (B) se font de plus en plus concrètes avec les évolutions technologiques, et la monétarisation des données personnelles.

B. TES informatisé : inquiétudes contre les cybermenaces

« Aucun système informatique n’est impénétrable. Toutes les bases de données peuvent être piratées[25]. Ce n’est toujours qu’une question de temps », selon le ministre de la Justice, Jean-Jacques Urvoas[26]. Deux exemples révélés en 2016 confirment ce risque : les 500 millions de comptes mails Yahoo! piratés en 2014, la campagne de l’élection présidentielle américaine de 2016 perturbée par le hacking. « Cible d’une valeur inestimable », le TES risque d’attirer les cyberattaques, menace grandissante, devenue même étatique.

C’est pourquoi, l’ancien ministre de l’Intérieur, Bernard Cazeneuve a mis en avant les dispositifs de sécurité, et leur efficacité contre le piratage (« outils cryptographiques », « barrières physiques (HSM, pare-feux…) », « bulle sécurisée », « serveurs dédiés ») : « le réseau sur lequel l’application centrale est opérée n’est pas sur Internet mais interne au ministère de l’Intérieur. Le système TES et plus généralement les applications hébergées à distance des réseaux publics au sein du ministère de l’intérieur, n’ont fait l’objet d’aucun hacking ces dernières années ».

Cependant, « la sécurité globale du système TES est perfectible » selon l’audit de l’ANSSI et de la DINSIC, rendu public le 17 janvier 2017. En ce sens, « des recommandations en termes de gouvernance, d’exploitation et de durcissement des mesures de sécurité » ont été adressés aux équipes techniques chargées du système. En réponse, « les onze recommandations du rapport de l’ANSSI et de la DINSIC seront pleinement mises en œuvre » a affirmé, l’ancien ministre de l’Intérieur Bruno le Roux, le 15 février 2017, lors de son audition devant la commission des Lois au Sénat.

Pour pallier les risques de la centralisation et de l’informatisation, une solution de substitution a émergé : conserver les données biométriques sur un support individuel que seule la personne visée détiendra. L’exemple le plus souvent cité serait d’intégrer aux cartes d’identité un composant électronique, comme c’est déjà le cas pour les passeports. Cette solution « match on card » a la préférence de la CNIL, car son utilisation « serait de nature à faciliter la lutte contre la fraude documentaire, tout en présentant moins de risques de détournement et d’atteintes au droit au respect de la vie privée ». Propriété du titulaire du titre, les données personnelles resteraient sous son contrôle exclusif.

Néanmoins, le Gouvernement a écarté cette solution pour trois raisons : la censure de 2012 de la CNI électronique (CNIE)[27] par le Conseil constitutionnel, le surcoût de plus de 100 millions d’euros, le manque de performance du système de la puce pour lutter contre la fraude et moderniser le service public.

Autrement, des alternatives techniques de « privacy by design » (protection de la vie privée dès la conception), déjà adoptées dans l’économie numérique, sont avancées. Dans une synthèse non exhaustive, le CNNum en a présenté les exemples suivants :

– le concept de « match on card » (MOC),

– ou celui plus général de « match on document » (calcul de comparaison fait par la puce du document qui stocke les données),

– le cachet électronique visible,

– l’usage d’un ISAEN (« Individual perSonal data Auditable addrEss Number »), identifiant anonymisé d’une blockchain.

Même s’« il est impossible de garantir l’inviolabilité technique absolue d’un système d’informations dans le temps » d’après l’audit de l’ANSSI et de la DINSIC, la réduction du risque de cyberattaques semble ainsi accessible pour l’Etat français.

Par ailleurs, la contestation contre le système TES continue et prend d’autres formes :

– une pétition en ligne a été ouverte pour suspendre la version actuelle du décret du 28 octobre 2016

– des recours en annulation pour excès de pouvoir contre ce décret ont été formés[28].

Pour porter l’application du « décret TES », un arrêté du 9 février 2017 (publié le 17 au JORF) a détaillé le calendrier de son déploiement dans l’ensemble de la France. D’abord expérimenté en novembre dans les Yvelines puis en décembre en Bretagne, le système TES est ensuite entré en vigueur le 21 février 2017 à Paris. Enfin, il a été progressivement étendu jusqu’au 30 mars à tous les départements de France métropolitaine, et aux collectivités d’outre-mer et à la Nouvelle-Calédonie.

Après une 11e journée mondiale de la protection des données personnelles (28 janvier 2017), passée dans une quasi indifférence générale, plus que jamais « une vigilance collective » – dépassant le simple cadre du système TES – apparait souhaitable.

Le professeur Dany Cohen invite à ne pas sous-estimer son enjeu :

« La capture, la conservation, l’utilisation et la revente de données personnelles des personnes physiques sont devenues en moins d’une vingtaine d’années un phénomène de masse, de surcroît planétaire. Quoique systématique et d’une ampleur impressionnante (et croissante), cette collecte fut – et demeure pour l’essentiel – invisible, impalpable pour les individus concernés. Même pour ceux qui en avaient une vague conscience, elle demeurait abstraite, puisque n’engendrant apparemment pas d’inconvénients pratiques pour les intéressés. L’effet anesthésiant de cette absence d’enjeu concret perceptible explique sans doute qu’une demande de protection n’ait émergé du corps social qu’avec une telle lenteur et si faiblement, contrastant avec la prise de conscience précoce de nombre de juristes ».[29]

Geoffroy Sinègre

Pour en savoir +

 

Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité.

– Dossier internet du ministère de l’Intérieur :

Espace presse du Sénat – Mise en place du système TES.

Avis du Conseil d’État du 23 février 2016.

Avis de la CNIL du 29 septembre 2016.

Avis du CNNum du 12 décembre 2016.

Claude Castelluccia, Daniel Le Métayer, « TES la centralisation des données biométriques est-elle vraiment inévitable ? Analyse comparative de quelques architectures », note d’analyse de l’Inria du 1er février 2017.

« Le numérique et les droits fondamentaux », étude annuelle 2014 du Conseil d’Etat.

« La France dans la transformation numérique : quelle protection des droits fondamentaux ? », colloque organisé au Conseil d’État le 6 février 2015.

– « Quelle protection des données personnelles en Europe ? », Céline Castets-Renard (dir.), Bruxelles : Larcier, 2015, 187 p.

– Agence des droits fondamentaux de l’Union européenne, Cour européenne des droits de l’homme, et Conseil de l’Europe, « Manuel de droit européen en matière de protection des données », Office des publications de l’Union européenne, 2014, 220 p.

Notes de bas de page

 

[1] Le nombre de 29 millions du ministère de l’Intérieur n’est pas repris par tous. En premier lieu, la CNIL et le CNNum lui préfèrent celui de 15 millions. En doctrine, les articles ont tendance à reprendre ce dernier (not. G. Koubi, « Le « méga-fichier » des titres électroniques sécurisés », JCP Adm., n° 47, 28 nov. 2016, p. 2300 ; M. Quéméner, « Présentation du décret du 28 octobre 2016 autorisant la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité (TES) », Dalloz IP/IT 2017 p. 58).

[2] Référence à l’article publié dans Le Monde du 21 mars 1974 par Philippe Boucher : « « Safari » ou la chasse aux Français ». Tel un lanceur d’alerte, il avait révélé aux Français l’existence du SAFARI, « Système automatisé pour les fichiers administratifs et le répertoire des individus ». Contre le premier ancêtre du TES, l’émotion fut telle dans l’opinion publique que le Gouvernement fut contraint d’abandonner ce projet.

[3] Décret n° 2016-1460, 28/10/2016, article 2, I, k :

« L’adresse de messagerie électronique et les coordonnées téléphoniques du demandeur, lorsque celui-ci a choisi d’effectuer une pré-demande de titre en ligne ou a demandé à bénéficier de l’envoi postal sécurisé, ou sur déclaration de l’usager lorsqu’il souhaite être informé par ce moyen de la disponibilité de son titre »

[4] « Juridiquement, l’on peut distinguer la biométrie morphologiques (données sur les empreintes digitales, l’iris de l’œil, la forme de la main ou du visage) de la biométrie comportementale (tracé de la signature, empreinte de la voix, façon de taper sur un clavier) » (Marie-Charlotte Roques-Bonnet, « Le droit peut-il ignorer la révolution numérique », éditions Michalon, 2010, p. 591).

[5] Revue Lamy Droit civil, n°143, « Fichier TES : contenu et état de divergences », dans la rubrique En bref.., 01/12/2016

[6] Blog de François Pellegrini, La biométrie des honnêtes gens, 02/11/2016 ; Blog de Roseline Letteron, Le fichier des honnêtes gens, saison 2, 04/11/2016 ; Raphaële Karayan, « Méga fichier TES : « Un mélange des genres tout à fait préjudiciable » », l’Express, 07/11/2016 ; Geneviève Koubi, « Le « méga-fichier » des titres électroniques sécurisés », JCP Adm., n° 47, 28/11/2016, p. 2300 ; Romain Perray, « Le fichier TES : un réel danger ? », Recueil Dalloz, 05/01/2017, p. 56.

[7] Blog de Rubin Sfadj, Pourquoi le nouveau méga-fichier du gouvernement va mal finir, 03/11/2016 ; Blog d’Olivier Iteanu, Le TES ou le #FichierMonstre aussi, 13/11/2016.

[8] Alexandre Léchenet, « Fichier des pièces d’identité : « Ce décret crée un monstre » », Libération, 31/10/2016 ; Etienne Girard, « 60 millions de Français fichés : « La base de données sera détournée de son but initial… » », Marianne, 04/11/2016 ; Philippe Bas demande la suspension de la mise en œuvre du décret, Le Sénat.fr, 16/11/2016.

[9] Damien Leloup, « La création d’un fichier rassemblant 60 millions de Français suscite de vives inquiétudes », Le Monde, 02/11/2016.

[10] Blog de Jean-Pierre Favier, Ne souriez pas, vous êtes fichés !, 06/11/2016 ; Un collectif de parents, « Il faut renoncer à l’extension de la collecte des données biométriques », Libération, 20/11/2016.

[11] Avis consultatif de la CNIL, 29/09/2016 :

« Les données biométriques présentent la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s’affranchir. Ces données sont susceptibles d’être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu et sont donc particulièrement sensibles. »

[12] Communiqué de presse de l’Association des archivistes de France (AAF) du 9 novembre 2016 ; Déclaration de la Commission nationale consultative des droits de l’homme (CNCDH) du 15 décembre 2016 ; Motion de la Société informatique de France (SIF), 13/01/2016.

[13] « Fichier TES, danger pour les libertés ! », communiqué de l’Observatoire des Libertés et du Numérique (OLN). Ce dernier regroupe, d’une part, les syndicats de la magistrature (SM) et des avocats de France (SAF), et d’autre part, les associations de la Ligue des droits de l’Homme (LDH), de la Quadrature du Net, du Centre d’Études sur la Citoyenneté, l’Informatisation et les Libertés (CECIL) et de la Creis-Terminal.

[14] Aurélien Véron, « Oubliez toute vie privée, le fichier des « honnêtes gens » est né », Atlantico, 03/11/2016 ; Boris Manenti, « Mégafichier : une aubaine à plusieurs millions d’euros ? », L’Obs, 10/11/2016 ; Andréa Fradin, « Dix raisons de se méfier du « fichier monstre » », L’Obs, 03/11/2016 ; Daniel Scneidermann, « Gens honnêtes : le fichier du 30 octobre », Arrêts sur Images, 02/11/2016 ; Jean-Marc Fedida, « Le « décret Halloween », le plus impressionnant système de fichage », Huffingtonpost, 02/11/2016.

[15] « […] le projet de décret a été soumis au contreseing de tous les Ministres concernés et au Premier ministre, après les consultations interministérielles habituelles. ». Dès le conseil des ministres du 16 décembre 2015, M.Cazeneuve avait « très clairement annoncé » ce projet TES.

[16] D’une part, le secrétariat général à la modernisation de l’action publique a accepté une mission d’appui à la réforme des préfectures. D’autre part, la DINSIC (Direction interministérielle du numérique et du système d’information et de communication de l’Etat, rattachée à Matignon) a reçu en juillet 2016 « un dossier très complet sur toute la démarche et son calendrier, en particulier sur le traitement TES ».

[17] « A partir du moment où la base de 60 millions de personnes est là, on peut ajouter une fonction de recherche par exemple. C’est d’autant plus facile qu’on est sur une base réglementaire, pas besoin d’adopter une nouvelle loi », remarque Guillaume Desgens-Pasanau, magistrat, ancien directeur juridique à la CNIL, maître de conférences au Conservatoire national des arts et métiers (CNAM).

[18] Blog de Roseline Letteron, Le fichier des honnêtes gens, saison 2, 04/11/2016 :

« Imagine-t-on un instant que l’on puisse renoncer à interroger un tel fichier lorsqu’il s’agit de repérer une personne soupçonnée de préparer un attentat terroriste ? Il serait sans doute plus sain d’envisager clairement une telle utilisation, afin de définir des garanties associées à un tel usage. Au lieu de cela, on feint de croire que le TES est un fichier administratif ordinaire, destiné à lutter contre les usurpations d’identité. On refuse d’admettre qu’il offrira aux services administratifs et judiciaires une formidable base de données de l’ensemble de la population française et qu’ils seront évidemment tentés de l’utiliser à d’autres fins ».

[19] Suite aux révélations du Washington Post, un audit interne de la National Security Agency (NSA), daté de mai 2012, a rapporté qu’au cours des douze mois précédents, il y aurait eu 2 776 cas de surveillance abusive. Soit plus de sept fois par jour en moyenne, une consultation injustifiée a été effectuée au sein de la NSA.

[20] Communiqué de presse du CNNum, 07/11/2016 ; Geneviève Koubi, « Le « méga-fichier » des titres électroniques sécurisés », JCP Adm., n° 47, 28/11/2016, p. 2300.

[21] « Science du secret » étymologiquement, la cryptologie regroupe d’une part, l’écriture secrète, la « cryptographie », et d’autre part, la « cryptanalyse », son analyse. Elle cherche à dissimuler les informations contenues dans un message, et porte trois objectifs principaux : assurer la confidentialité, garantir l’authenticité et conserver l’intégrité des informations.

[22] Courrier de Bernard Cazeneuve au Président du CNNum, 07/11/2016 :

« […] les données biométriques sont en effet conservées dans une base distincte et séparée de celle des demandes de titres. Et le lien qui les unit est asymétrique : ainsi, il est possible de consulter la base contenant les données biométriques à partir de la base contenant les demandes de titres, mais pas l’inverse. Il est donc impossible de consulter les données relatives aux personnes à partir des données biométriques. Ce blocage technique est garanti par une cryptographie spécifique et un lien unidirectionnel ».

[23] Une telle attaque est parfois appelée « force brute ».

[24] « Grand Frère », en français, est un personnage de fiction du roman d’anticipation « 1984 » de George Orwell, publié en 1949. Il désignait alors un dictateur totalitaire, omniscient et omnipotent. A la faveur d’un succès mondial, l’expression anglaise « Big Brother » est entrée dans le vocabulaire courant. Elle définit toute institution ou pratique portant atteinte aux libertés fondamentales et à la vie privée des individus.

[25] En 2009, un registre de données confidentielles de près de 9 millions de citoyens israéliens était disponible sur internet, à cause d’une simple négligence d’un sous-traitant. En juillet 2015, les données nominatives de 21,5 millions de citoyens américains (dont 5,6 millions d’empreintes digitales) ont été dérobées suite au piratage d’une agence pour l’emploi. En avril 2016, les données de 55 millions d’électeurs philippins avait fuité en raison d’une faille de sécurité.

[26] Blog de Jean-Jacques Urvoas (futur président de la commission des Lois de l’Assemblée nationale), « Contre le « fichier des honnêtes gens » ».

[27] Selon l’avis de la CNIL du 29 septembre 2016, « l’introduction du composant électronique sécurisé dans la carte nationale d’identité […] n’a pas été censurée par le Conseil constitutionnel […] ».

[28] Le 6 mars, un premier recours en référé contre le TES a été rejeté par le Conseil d’Etat (n° 408394, inédit au recueil Lebon).

[29] Dany Cohen, « Le juge européen et les données personnelles », dans L’exigence de justice : mélanges en l’honneur de Robert Badinter, Dalloz, 2016, p. 249.

 

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.