Le décret du 28 octobre 2016 relatif au fichier des «Titres Électroniques Sécurisés » (TES) soulève de vrais dangers qui supposent d'aller au-delà d'une simple déclaration d'apaisement du ministre de l'Intérieur, même assortie d'une faculté donnée aux Français qui le souhaitent de refuser de placer leurs empreintes digitales dans la base.
Le nouveau fichier TES, tel qu’envisagé dans le décret, étend en effet aux cartes d’identité – soit environ 60 millions de Français – la numérisation et la centralisation des données biométriques, qui portait jusqu'à présent uniquement sur les passeports. Il va collecter et enregistrer dans une base unique les données relatives à la filiation (noms, prénoms, dates, lieux de naissance et nationalité des parents), l'adresse, le courriel et le numéro de téléphone, ainsi que plusieurs données biométriques : la couleur des yeux, la taille, les empreintes digitales donc, mais aussi l'image numérisée du visage. Ces dernières informations présentent la particularité de permettre à tout moment et à distance l'identification de la personne concernée sur la base d'éléments biologiques qui lui sont propres, permanents dans le temps et dont elle ne peut s'affranchir. Ces données seront conservées pendant quinze ans pour les passeports et vingt ans pour les cartes nationales d'identité.
Les objectifs affichés par le Ministère de l’Intérieur pour justifier la création d’un tel fichier sont doubles : rationaliser la gestion des titres délivrés et combattre la fraude et l’usurpation d’identité. Ces deux objectifs sont parfaitement légitimes, mais ils peuvent être atteints par d’autres voies.
Le cœur du problème repose dans l'existence d'une base centrale aux mains de l’administration. Cette centralisation est à la fois inutile et dangereuse.
Inutile car il est possible d’atteindre le même objectif – éviter l’usurpation d’identité – par une autre approche : l’identité biométrique de l’individu peut être stockée dans le document d'identité lui-même, certifié et infalsifiable. Au moment de s’authentifier – par exemple pour un renouvellement de carte d’identité – la personne présente ce document qui est alors comparé à ses empreintes. C’est ainsi qu’opèrent par exemple les portails de contrôle d’identité utilisant le passeport biométrique (système Parafe des aéroports).
Dangereuse car le passage en base centrale ouvre la voie à des pratiques dont les finalités pourraient être totalement en opposition avec les principes fondamentaux de la République. Pour l’heure, le dispositif est censé être administratif et unidirectionnel : il est destiné à ne servir qu’à l’authentification, c’est-à-dire à vérifier qu’une personne qui se présente munie d’une pièce d’identité est bien celle qu’elle prétend être. Il ne doit pas servir à l’identification, c’est-à-dire, en sens inverse, pour identifier un individu à partir d’une trace – une empreinte digitale, une image prise par une caméra de surveillance, une photo postée sur un média social. Cette finalité d'identification a expressément été censurée par le Conseil constitutionnel. Or, comme cela s'est déjà produit avec le Fichier National Automatisé des Empreintes Génétiques, la possibilité actuelle de réquisitions judiciaires constitue un levier pour permettre l'extension de la finalité à la réalisation d'identifications, l'architecture centralisée permettant de reconstituer facilement le lien entre biométrie et identité administrative. L'extension de finalité pourrait donc être légalisée a posteriori, sans débat.
Rappelons-nous, la tentation d'un fichier centralisé n'est pas nouvelle. La controverse autour du fichier TES réplique, près de 40 ans après, celle déclenchée en 1974 par le projet SAFARI. Ce projet poursuivait une ambition comparable : le fichage de tous les Français, au travers de la même procédure normative, un simple décret. Le Premier Ministre avait alors écarté toute proposition de débat public sur les projets d’informatisation en cours, contrairement aux recommandations du Conseil d’Etat et du ministère de la Justice. Ce projet, révélé dans un article du Monde, « Safari ou la chasse aux Français », avait suscité une large émotion. Le projet Safari fut ainsi suspendu, la loi « Informatique et Libertés » du 6 janvier 1978 adoptée et la CNIL instituée.
Plus récemment, en 2008, le fichier Edvige visait à rassembler les identités des personnes « susceptibles de porter atteinte à l'ordre public », suscitant une nouvelle polémique. Pour y mettre un terme, une mission d’information du Parlement fut mise en place. Elle recommanda une refonte complète de la procédure juridique entourant les fichiers de police. La proposition de loi bipartisane, recommandant une refonte complète de la procédure juridique entourant les fichiers de police, fut adoptée à l’unanimité par la Commission des lois en juin 2009, mais repoussée quelques mois plus tard par la majorité d’alors.
Sous le coup de l’émotion liée à un événement tragique, les garanties juridiques pourraient disparaître, l’identification pourrait être ajoutée de manière généralisée aux finalités de ce fichier, sous la responsabilité non plus des juges mais, plus généralement, d’administrations. C’est ce qui s’est produit récemment pour le fichier biométrique des demandeurs d’asile EuroDAC. Parce que ces fichiers existaient, la finalité d’identification leur a été ajoutée après coup. Au-delà, nous pouvons imaginer sans peine ce qu’un régime peu regardant sur la question des libertés publiques pourrait faire d’un tel fichier : un visage apparait dans une manifestation qui déplait au pouvoir, une empreinte est retrouvée dans la salle d'une réunion jugée subversive… et la personne subit le sort des « ennemis d'État ».
Que proposons-nous ? Un vrai débat, pas un simulacre. Un débat qui ait pour but d'encadrer le système par une architecture répondant à la finalité de sécurisation des titres d'identité mais qui ne puisse pas permettre un glissement vers l'objectif d'identification des personnes et de surveillance de la population.
Le ministère de l’intérieur vient d’engager la tenue d’un débat parlementaire qui ne donnera lieu à aucune véritable étude d’impact. Un simple débat sans vote ne permet pourtant pas d’explorer sérieusement et contradictoirement les alternatives. D'autres approches, d’autres architectures, présentant moins de risques pour la protection des données personnelles, sont pourtant possibles, telles que la conservation de données biométriques sur un support individuel exclusivement détenu par la personne. Dans le contexte actuel de progrès rapides du numérique, la technologie vient en aide au droit, protecteur de nos libertés. Celles-ci doivent donc être interprétées dans une approche de « privacy by design » (technologies de protection de la vie privée dès la conception) anticipant ainsi la mise en œuvre du règlement européen qui entrera en vigueur en mai 2018. Pour cela, une mission de réflexion pourrait être confiée à des personnalités reconnues des mondes du droit et de l'informatique, pour explorer ces alternatives, en étroite collaboration avec la Commission Nationale de l'Informatique et des Libertés, le Conseil National du Numérique et l'Agence Nationale de la Sécurité des Systèmes d'Information.
Nos concitoyens glissent progressivement vers une forme de fatalisme tenant à une méconnaissance du danger de la collecte massive des données personnelles et à une économie du web qui les habitue progressivement à une telle collecte à finalité commerciale. Le climat sécuritaire légitime à leurs yeux des lois qui fragilisent nos libertés. Ni l’économie ni la peur ne doivent justifier la construction des conditions techniques et juridiques d’une surveillance généralisée. Dans ce contexte, la faculté donnée aux citoyens de s'opposer à ce que leurs empreintes digitales soient stockées dans la base est une réponse de circonstance insuffisante. Qui le fera ? Qui disposera de l'information suffisante pour résister à la promesse de simplification apportée par une démarche dématérialisée ? Qui ne craindra d’avoir l'air de vouloir cacher quelque chose ? En faisant reposer sur le citoyen la décision de ne pas voir ses empreintes collectées, on transforme une problématique éminemment collective et politique en une responsabilité individuelle. De plus, l’absence des empreintes digitales du fichier, pour ceux qui l’auront refusé, ne résoud pas le problème du stockage centralisé de la photo du visage qui, en raison de la multiplication de caméras de vidéosurveillance couplée à l'intelligence artificielle, peut transformer nos faits et gestes et nos déplacements en instruments de traçabilité permanente.
Il vous appartient, Monsieur le Président de la République, de suspendre la mise en œuvre de ce décret, de donner au Parlement et à la société civile le temps d’en débattre, sans précipitation. C’est à cette seule condition que nous pourrons écrire une nouvelle page de l’histoire des droits fondamentaux des citoyens dans le monde numérique.