Méga-fichier « TES » et protection des données : examen européen en vue
En novembre 2016, suite à l’adoption par le gouvernement français d’un décret rassemblant les informations de tous les passeports et cartes d’identité dans une base de données unique dénommée « titres électroniques sécurisés » (TES), plusieurs eurodéputés ont demandé à la Commission européenne d’évaluer la conformité de ce méga-fichier avec les standards européens de protection des données personnelles. Censé contenir des informations sensibles dont les empreintes digitales et les photographies de la quasi-totalité des Français, ce méga-fichier inquiète en effet les défenseurs des droits humains.
Un examen européen nécessaire
Bien que n’apportant pour l’heure aucun élément de fond qui permettrait de tarir de légitimes inquiétudes, la Commission européenne a finalement admis dans sa réponse du 3 février que la question méritait d’être étudiée. Plus de trois mois après la publication du décret français, la Commission a indiqué en « avoir pris note » et « se pencher sur les questions soulevées » par les eurodéputés signataires.
Toutefois, elle indique que les nouvelles règles européennes de protection des données, adoptées en mai 2016, ne seraient applicables qu’à partir de mai 2018. Seulement, la Commission feint d’ignorer ici que, même pendant le délai de transposition ou d’application, les États ont l’interdiction de prendre des mesures qui contreviennent aux objectifs de textes européens déjà adoptés. Ce principe essentiel découle de la jurisprudence de la Cour de l’Union européenne et constitue une condition fondamentale au bon fonctionnement de l’UE et de l’harmonisation législative.
C’est pourquoi les députés européens écologistes ont l’intention de déposer une nouvelle question écrite auprès de la Commission, en lui rappelant ce principe essentiel afin que le décret français soit examiné à l’aune des standards les plus récents en matière de protection des données. Surtout, l’objectif est de s’assurer que la Commission européenne se penche réellement sur les questions soulevées par les eurodéputés afin d’obtenir des réponses de fond à leurs questions légitimes.
Un décret qui dérange
Ces questions semblent d’autant plus légitimes que, depuis novembre, de nouveaux rapports sont venus confirmer les risques de ce méga-fichier et ses contradictions avec les nouvelles règles européennes de protection des données, en particulier les principes de sécurité, de nécessité et de proportionnalité.
De nombreuses organisations comme la CNIL et le Conseil National du Numérique ont notamment regretté de n’avoir pu étudier d’autres systèmes alternatifs. Il existe en effet d’autres moyens d’atteindre le même objectif (la lutte contre l’usurpation d’identité), comme l’insertion d’une puce électronique contenant les données personnelles directement sur les cartes d’identité – et non sur un fichier centralisé susceptible d’être utilisé à mauvais escient voire piraté.
Les rapports d’audit de l’Agence nationale de sécurité des systèmes d’information (ANSSI) et de la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) ont conclu que la sécurité de ce méga-fichier était « perfectible », en particulier le système de chiffrement censé protéger les données biométriques. Parmi les failles identifiées dans ces rapports figure le fait que ce système « peut techniquement être détourné à des fins d’identification » des personnes à l’aide des seules empreintes digitales, alors que le fichier « TES » est uniquement censé permettre l’authentification, c’est-à-dire la vérification d’une identité pour éviter les fraudes. Cette faille renforce les craintes que cette base de données soit détournée et utilisée à d’autres fins…
N’ayant pas souhaité prendre le temps de modifier le système du fichier « TES » en fonction des recommandations de ces rapports d’audit, le gouvernement français a au contraire décidé, par un arrêté publié le 17 février, de déployer ce méga-fichier en l’état à travers toute la France. Actuellement expérimenté dans les Yvelines et en Bretagne, il entre en vigueur mardi 21 février à Paris, puis sera étendu à tous les départements de France d’ici à la fin du mois de mars.
La protection des données personnelles ne semble définitivement pas être une priorité de ce gouvernement. Concernant la première des recommandations des rapports d’audit, à savoir la mise en place d’un système de chiffrement à « double clé », l’actuel Ministre de l’Intérieur, Bruno Le Roux a répondu que l’application éventuelle de cette recommandation reviendrait au « futur gouvernement »… Rassurés ?
Affaire à suivre
Les députés européens Verts restent mobilisés pour assurer la protection des libertés et droits fondamentaux des citoyens, en particulier dans le contexte actuel où le fichage et les lois sécuritaires s’accumulent sans que leur impact ne soit correctement évalué. Nous soumettrons dans les jours qui viennent une nouvelle question écrite, dans l’attente que la France se voie rappelée à ses obligations en matière de protection des données personnelles.