Créée en 2008, la base des Titres électroniques sécurisés contient aujourd’hui l’intégralité des 29 millions des dossiers de demande de passeports biométriques.
Après une phase expérimentale conduite dans le département des Yvelines depuis le 8 novembre, puis dans la région Bretagne à partir du 1er décembre, les dossiers des Cartes nationales d’identité (aujourd’hui archivés en format papier) rejoindront cette base Titres électroniques sécurisés au fur et à mesure des nouvelles demandes ou des renouvellements, soit sur plusieurs années.
Annoncé depuis des mois, notamment en Conseil des ministres le 16 décembre 2015. Il s’agit à la fois de simplifier les démarches des usagers et de fiabiliser les titres d’identité en luttant plus efficacement contre la fraude.
Ce projet a d’abord été soumis une première fois au Conseil d’État afin de s’assurer de la nature réglementaire des dispositions à prendre. Cet avis a été rendu public par le Gouvernement
. Le projet de texte à proprement parler a alors été soumis au Conseil d’État ainsi qu’à la CNIL
. Le Conseil d’État ayant rendu son avis le 29 septembre, le texte, après avoir été soumis au contreseing de plusieurs ministres, a finalement été signé le 28 octobre par le Premier ministre et publié le 30
, comme de nombreux autres décrets relatifs à d’autres sujets, au terme d’un parcours normal et transparent.
La numérisation des CNI va permettre d’offrir de nouveaux télé-services, comparables à ceux qui existent aujourd’hui pour les passeports : pré-demande en ligne, paiement du timbre dématérialisé en ligne, renouvellement des titres plus rapide, amélioration de la sécurité des CNI, et donc sécurisation de l’identité.
Les CNI sont aujourd’hui instruites avec une application obsolète appelée FNG ou Fichier national de gestion, mise en service en 1987, et dont la maintenance informatique est délicate (langage « cobol »). Elle ne permet pas une transmission numérisée mais uniquement papier entre les mairies et les services préfectoraux.
Le projet de 2012, appelée CNIE ou carte nationale d’identité électronique, avait une technologie différente, avec une carte à puce, et poursuivait une double finalité : améliorer la lutte contre la fraude, et pouvoir remonter à l’identité des détenteurs de titres à partir de ses données biométriques. Ce n’est ni le fait que la carte ait une puce, ni le fait qu’elle ait une vocation à lutter contre la fraude, qui a été censurée, mais bien ce troisième point : qu’elle soit l’occasion de constituer un fichier d’identification des personnes à partir de leurs empreintes ou de leur photo.
Or en l’espèce, le Gouvernement : premièrement écarte la puce ; deuxièmement maintient la finalité propre à la lutte contre la fraude, car c’est bien ce que vise le Plan préfectures nouvelle génération ; et troisièmement, rend impossible l’identification du demandeur de titre à partir de ses données biométriques. Et c’est ce troisième et dernier point qui est décisif.
En effet, le fichier que permet de créer le décret en débat possède trois compartiments : l’un relatif à des données alphanumériques (l’adresse, le numéro de la demande, le nom du demandeur…) qui figurent sur le formulaire de demande de titre ou CERFA, qui est strictement inchangé ; l’autre relatif à la photo et aux deux empreintes digitales numérisées ; le dernier relatif aux pièces justificatives. Or s’il est possible de remonter au deuxième compartiment, biométrique, à partir des données propres à la demande du titre, l’inverse est impossible. On ne peut accéder à l’identité à partir des données biométriques. Et cette impossibilité est non seulement juridique (le décret l’interdit, et pour le permettre il ne faudrait pas seulement un décret mais une loi et de nouveaux principes constitutionnels, pour éviter la censure de 2012), mais elle est aussi technique : l’architecture de l’application devrait être ni plus ni moins que rebâtie pour le permettre.
Ce fichier ne permet donc en aucun cas, ni juridiquement, ni techniquement, de mettre un nom sur une personne à partir de ses seules empreintes. Il permet uniquement et strictement de vérifier que la personne qui demande un titre est bien celle qu’elle prétend être au vu du contrôle de conformité des données biométriques que permet la base : c’est une procédure d’authentification des demandes, ni plus, ni moins.
La Commission nationale de l’informatique et des libertés (CNIL) conclut que les finalités du décret sont « déterminées, explicites et légitimes ».
L’avis du Conseil d’État, consulté à deux reprises, est favorable sur le fond comme sur la forme : le fichier est légal dans son contenu et ses finalités, et pouvait parfaitement être autorisé par décret.
Le CNEN (Conseil national d’évaluation des normes) et l’Association des maires de France ont également été consultés et ont donné leur accord.
D’une part, ce n’est pas un fichier d’identification des détenteurs de titres, mais un fichier d’authentification des titres demandés.
D’autre part, le fichier actuel FNG, relatif aux cartes d’identité, concerne déjà quasiment tous les Français puisque quasiment tous les Français détiennent une carte d’identité (59 millions de CNI ont été mis en circulation depuis 2004). Et le fichier TES, qui contient depuis 2008 des données biométriques, a permis de délivrer plus de 29 millions de passeports, soit près de la moitié de la population. Et c’est bien de ce fichier dont nous parlons. TES ne sera alimenté des données relatives aux CNI, non pas du jour au lendemain, mais sur plusieurs années, au gré des demandes de renouvellement des CNI, puisqu’il s’agit d’une application d’instruction des demandes de titres.
Pour permettre de faire toute la lumière sur ce fichier et tenter de lever les craintes qu’il suscite, le Conseil national du numérique, avec le soutien du Ministre de l’intérieur, a pris l’initiative d’organiser une concertation ouverte, prévue pour durer 10 jours, avant de publier son avis d’ici quelques semaines. Comme l’y invite le Conseil, le Gouvernement se mettra en mesure, dans le cadre de cette concertation, d’apporter tout élément d’information de nature à éclairer les réflexions.
Premier élément de réponse : le Gouvernement a cherché à s’écarter de la CNIE de 2012. Parce que la CNIE est depuis marquée du sceau de la censure, et que le Gouvernement a considéré que les éléments de confiance envers ce titre étaient rompus pour le grand public.
Deuxième élément de réponse : le Gouvernement a lancé une réforme du Plan préfectures nouvelle génération qui arrive à concilier économies budgétaires (rendre 1 300 emplois) et modernisation du service public. Dès lors, en 2015, les coûts de cette réforme devaient être maîtrisés. Or le coût de la puce électronique aurait renchéri de plus de 100 millions la réforme. C’est donc un choix de cohérence budgétaire qui a été effectué, assumé avec un autre choix fort : maintenir la gratuité de la CNI. En effet, la CNI est aujourd’hui gratuite, et le Gouvernement n’a pas souhaité que ce principe fort soit modifié.
Enfin, la puce n’est pas la technologie la plus performante en matière de lutte contre la fraude ou en termes de modernisation du service public. En effet, si la carte d’identité est perdue, avec la puce, et que l’on passe par une détention individuelle des données biométriques détenues sur cette carte, l’usager doit repartir à zéro. Par ailleurs, c’est moins la sécurisation du titre en soi avec la puce qui compte que la lutte contre la fraude à chacune des étapes des procédures d’instruction des demandes de titre, car l’usurpation d’identité est le vecteur privilégié de cette fraude. C’est la logique poursuivie par le Plan de protection de l’identité élaboré fin 2013. De fait, seule la base de données est un point de référence, de comparaison, permettant d’attester que le demandeur d’un titre est bien celui qui peut prétendre à se le voir renouveler, en vérifiant que le titre qu’il présente est authentique. En cas d’usurpation d’identité, seule la base de données biométriques, interrogée par le nom, permet de mettre fin à l’usurpation d’identité.
Ce fichier permet donc d’accroître sensiblement nos moyens de prévention et de réaction en matière de lutte contre la fraude documentaire. A ce titre, il faut rappeler que les usurpations d’identité sont extrêmement préjudiciables aux citoyens qui en sont victimes et actuellement complexes et longues à résoudre (interdits bancaires, impossibilité de se rendre à l’étranger). Par ailleurs, la fraude documentaire fragilise nos dispositifs de contrôle aux frontières et de lutte contre le terrorisme, comme l’a d’ailleurs expressément rappelé le nouveau commissaire européen à la sécurité, Julian King, lors de son audition devant la commission LIBE à Strasbourg il y a quelques jours.
L’application TES bénéficiera dans son nouveau format de protections informatiques qui ont été profondément pensées, et déjà pratiquées depuis 8 ans, et dont la robustesse, constamment éprouvée et mise à jour en fonction de l’évolution des menaces, est donc avérée. En effet, face aux risques de piratage évoqués, les bases de l’application centrale sont protégées de plusieurs manières.
Sans toutes les révéler, on peut mentionner que des outils cryptographiques sont mis en œuvre pour les données biométriques. De même, les pièces justificatives sont cryptées. Des barrières physiques que l’on dénomme HSM ou pare-feux sont également déployées et le système TES bénéficie d’une bulle sécurisée et de serveurs dédiés.
Il faut par ailleurs préciser que le réseau sur lequel l’application centrale est opérée n’est pas sur Internet mais interne au ministère de l’Intérieur. Il s’agit donc d’une application qui est conservée à distance solide des réseaux publics, comme l’est la base TES depuis 2008.
Et si bien évidemment le risque zéro n’existe pas, le système TES et plus généralement les applications hébergées à distance des réseaux publics au sein du ministère de l’Intérieur, n’ont fait l’objet d’aucun hacking ces dernières années. Les faits parlent d’eux-mêmes.
Dans le cadre de la réforme des préfectures, TES fait l’objet d’une procédure de nouvelle homologation que va permettre l’expérimentation qui a débuté dans les Yvelines le 8 novembre. Comme annoncé ce 10 novembre, cette ré-homologation précédera le déploiement de la nouvelle application à l’ensemble du territoire national. Et l’avis de l’ANSSI (Agence nationale de sécurité des systèmes d’information) sera sollicité dans ce cadre, et considéré comme un avis conforme : toutes ses préconisations seront suivies.
Non. Ce n’est pas le cas.
D’une part, pour des raisons juridiques. Un tel fichier ne saurait être légalement constitué, non seulement sans un nouveau décret fondé sur l’avis de la CNIL et du Conseil d’Etat, qui joueraient comme aujourd’hui leur rôle de garde-fous. Mais c’est même une loi qui serait nécessaire, comme en 2012, parce que les finalités seraient nouvelles. Et pour ne pas être à nouveau censurée par le juge constitutionnel, ce sont même les principes constitutionnels qu’il faudrait changer.
D’autre part, l’impossibilité est technique. En effet, le système d'information dont nous parlons existe depuis 2008. Il est techniquement très élaboré : les données biométriques, c’est-à-dire la photographie et les empreintes digitales, sont conservées de manière distincte et ne sont accessibles qu’à partir des données du titre. Et ce qui ne permet pas l’inverse, c’est le dispositif de chiffrement utilisé qu’il comporte. Pour le permettre, il faut revoir toute l’architecture de l’outil.
Un fichier s’apprécie au regard de trois éléments à l’aune des libertés publiques : les données qu’il comporte, les finalités qu’il recherche, et l’architecture dont il relève.
A cet égard, on soulignera que les données biométriques propres à la CNI existent déjà, sont déjà relevées par les agents de mairie et consultées par les agents de préfecture (photo et empreintes). Simplement, elles sont conservées sous format papier. L’inconvénient majeur du format papier, c’est qu’il rend complexe la traçabilité des consultations auxquelles il donne lieu. Alors qu’en versant dès aujourd’hui les CNI dans l’application TES, nous sommes désormais en mesure de garantir aux Français la traçabilité parfaite des consultations de leurs données biométriques, notamment avec un système d’horodatage.
Sur la numérisation dans TES des données biométriques, dans le cadre d’une demande ou d’un renouvellement d’une carte nationale d’identité, le versement des empreintes digitales du demandeur du titre seront soumis à son consentement express et éclairé. Ainsi, le recueil des empreintes reste obligatoire. Mais le refus du versement des empreintes dans la base centralisée TES n'empêchera pas la délivrance du titre. En revanche, ce versement simplifie et facilite l’émission d’un nouveau titre et permet de lutter efficacement contre l’usurpation d’identité : les Français qui y renoncent renonceront également aux services associés.
Sur la protection du fichier, pour garantir la sécurité absolue du système informatique, le dispositif ne sera déployé sur l’ensemble du territoire qu’après que l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) aura homologué la sécurité du système et des procédures par un avis conforme.
Au final, le Gouvernement n’a pas conçu de fichier d’identification des personnes, mais d’authentification des titres. C’est une philosophie radicalement différente de celle de 2012. Il reprend un outil moderne, économe de moyens, dont la robustesse est avérée depuis plus de 8 ans. Il renforce considérablement nos moyens de lutte contre la fraude documentaire, et permet de parfaitement tracer l’accès aux données biométriques déjà enregistrées aujourd’hui lors de la demande de titre.
Des contrôles peuvent et doivent avoir lieu sur ce fichier. L’expérimentation amorcée dans les Yvelines le 8 novembre et qui se poursuivra en Bretagne le 1er décembre permettra, avant un déploiement au printemps, d’adapter le dispositif le cas échéant, en plus des propositions que pourraient faire les parlementaires lors du débat sollicité.
Enfin, afin de répondre aux interrogations qui se sont fait jour, et notamment de la part des parlementaires, il vient d’être décidé de conditionner le versement dans TES des empreintes digitales des usagers au consentement de ces derniers. Si les usagers n’y consentent pas, le titre sera délivré mais ils ne bénéficieront pas des services associés et recherchés, qu’il s’agisse de la lutte contre l’usurpation d’identité dont ils pourraient être victimes ou du renouvellement simplifié de leur demande de CNI. Mais ils en auront la liberté de choix.
Ainsi, l’outil est d’ores et déjà adapté pour rechercher un équilibre entre simplifications des démarches, lutte contre la fraude documentaire et respect des libertés publiques, et tiendra compte des nouvelles remarques formulées dès lors qu’elles sont compatibles avec le calendrier et la réforme du Plan préfectures nouvelle génération.