Le 28 octobre dernier, le gouvernement français a pris un décret autorisant la création d’un fichier centralisé de « titres électroniques sécurisés » (TES), qui sera en fait une base de données qui permettra de regrouper toutes les données relatives aux passeports et aux cartes nationales d'identité des Français. L’objectif principal mis en avant par le gouvernement est de limiter la fraude aux titres d'identités et faciliter les demandes ou renouvellements de papiers.Dès sa parution, le décret a toutefois suscité un certain nombre d’interrogations et inquiétudes, notamment des défenseurs de la vie privée. Le texte autorise en effet certains accès à la base de données par les agents de la Police nationale, de la Gendarmerie nationale et des renseignements. Un tel fichier peut donc entrainer des dérives, sans oublier qu'une telle base de données est plus susceptible d'attirer l'attention des hackers. Ces inquiétudes ont conduit le ministre de l’Intérieur à demander à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et la Direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic), de procéder à un audit de sécurité du système.
L'audit a conclu que, si « les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient », la sécurité globale du système est perfectible et que de nouvelles mesures de gouvernance, d’exploitation et de sécurité doivent être mises en place par le ministère de l’Intérieur. Il a également démontré que « le système peut techniquement être détourné à des fins d’identification biométrique des personnes concernées, laquelle finalité n’est pas poursuivie par ce traitement qui ne prévoit que l’authentification. Il rappelle enfin que l’inviolabilité technique d’un système d’information ne peut être garantie de manière absolue et qu’il appartient donc à l’État de décider, au regard des risques résiduels liés à la mise en œuvre d’un tel fichier et de ses bénéfices escomptés, de l’opportunité de maintenir un tel système. » Au total, onze recommandations ont été faites à l'issue de l'audit.
Après une période d'expérimentation de cinq mois menée dans les Yvelines et en Bretagne, le fichier TES est généralisé à l'ensemble du territoire français, ce mardi 28 mars, conformément à un agenda de déploiement publié par le ministère de l'Intérieur en février dernier. C’est donc sans fournir d'information sur la prise en compte des avis et recommandations de l’Anssi, de la Dinsic ou encore de la Commission nationale de l'informatique et des libertés (CNIL) que se fait la mise en place du fichier TES à l'échelle nationale.
Pour sa part, la CNIL a réitéré ses critiques à l’égard du système TES dans son rapport annuel publié le 27 mars. La CNIL y indique clairement que « le système projeté n'était pas, en l'état des éléments dont elle disposait et au vu de ses exigences traditionnelles en matière de traitements biométriques, entouré de garanties suffisantes permettant d'assurer un haut niveau de protection des données ».
La CNIL dénonce encore le fait qu'aucune étude d’impact sur la vie privée ne lui a été communiquée, et qu'en plus, certaines mesures de sécurité exigées pour le secteur privé n’ont pas été prévues pour le système TES. « Enfin, la CNIL a estimé que les risques de mésusage des données n’étaient pas suffisamment pris en compte, qu’il s’agisse de l’utilisation du système à des fins de reconnaissance faciale, qui n’est pas interdite en l’état du texte, ou encore du risque de consultation massive des données enregistrées dans le traitement dans le cadre de réquisitions judiciaires. », a-t-elle indiqué dans son rapport annuel.
Sources : Le Figaro, Rapport de la CNIL
!