On le rappelle, le fichier TES, mis en œuvre par le ministère de l’intérieur, a pour objet :
- De faciliter l’établissement, la délivrance, le renouvellement, l’invalidation des cartes nationales d’identité et des passeports
- La prévention et la détection de la falsification et de la contrefaçon de ces titres
- Pour ce faire, ce fichier unique regroupera nom, prénoms, taille, sexe, couleur des yeux, filiation des parents, etc., et même données biométriques.
On comprend aisément les enjeux qui découlent de ce fichier notamment en matière de protection des données. Pour ou contre, que pensent nos experts ?
Garance Mathias, avocate & expert du Cercle des Assises de la Sécurité : « La CNIL pointe l’absence d’une étude d’impact au vu des risques pour les droits et libertés des personnes »
Il faut noter que pour le fichier TES, plusieurs niveaux d’habilitation ont été définis quant à l’accès aux données traitées par le TES. A titre d’illustration, les agents des préfectures ou encore les agents diplomatiques chargés de la délivrance des passeports et des cartes nationales d’identité pourront accéder à tout ou partie des données. En revanche, les agents spécialisés du renseignement n’auront par exemple pas accès aux données biométriques. Toutes les consultations seront enregistrées. Les informations relatives à ces dernières seront conservées pendant une durée de cinq ans.
Toutefois, en dépit de la restriction d’accès, il convient de souligner que des réquisitions judiciaires pourront permettre un accès à l’ensemble des données à caractère personnel traitées dans le cadre d’enquêtes.
Malgré cela, l’avis de la CNIL en date du 29 septembre dernier comporte plusieurs réserves. Compte tenu de son périmètre, tout citoyen français peut s’attendre à ce que ses données à caractère personnel figurent dans le TES. Soulignons à ce titre qu’il ne sera pas possible de s’opposer au traitement mis en œuvre, le droit d’opposition ayant été écarté.
Ensuite, fidèle à la doctrine qu’elle a développé sur le traitement des données biométriques, la CNIL formule le regret que la conservation desdites données sur un support individuel exclusivement détenu par la personne n’ait pas été retenue.
Par ailleurs, compte tenu du risque pour les droits et libertés des personnes, la CNIL pointe l’absence de réalisation d’une véritable étude d’impact. Notons que dans le cadre de l’application du RGPD, le TES aurait vraisemblablement dû faire l’objet d’une analyse d’impact compte tenu de sa portée et du risque évoqué par la CNIL.
La CNIL formule enfin des réserves sur les mesures de sécurité mises en œuvre lesquelles ne sont pas suffisamment adaptées à la nature de certaines données à protéger (données biométriques).
Cyril Corcos, Partner GRC du cabinet de conseil Harmonie Technologie spécialiste de la gestion du risque & de la cybersécurité : « Pour nous, la vraie question c’est quels sont les risques ? Les considérations de sécurité sont-elles à la hauteur de ce projet ? »
Le fichier TES est une amélioration pour les autorités mais les dérives possibles sont plus que nombreuses (accès au fichier sans base légale par exemple). Centraliser le tout sans aucune considération sur la sécurité serait pour nous, professionnels de la sécurité, un non-sens. C’est le propre des démocraties de s’assurer de veiller aux libertés des individus mais, d’un autre côté, il est nécessaire de se doter des moyens appropriés pour s’assurer de protéger les intérêts et la sécurité de ces mêmes citoyens.
Avec la construction d’un fichier regroupant trop d’informations, une dérive peut vite arriver dès lors que les intentions des personnes qui peuvent avoir accès aux données sont mal intentionnées. A l’inverse, l’absence de ce genre de fichiers complexifie le travail des enquêteurs dans le cadre d’investigations légitimes et ralentit l’instruction. Quels sont donc les pours et les contres ?
Ce fichier présente des avantages en termes de recoupement de données pour permettre d’appréhender plus aisément des suspects dans la lutte antiterroriste et autres situations dans lesquelles des concitoyens auraient commis des délits. C’est le message porté par le ministère de l’intérieur, et par conséquent, il est évident qu’un tel fichier devient une cible alléchante et nécessite un contrôle d’accès renforcé.
A ce jour, le conseil du numérique et la ministre en charge du numérique ont émis un avis défavorable car en unifiant plusieurs fichiers en une seule base ou fichier (points les plus sensibles : empreintes digitales, photo du passeport, et risques de fraude massifs), nous définissons clairement la cible à atteindre par les personnes mal intentionnées. Ensuite, nous réduisons la surface d’attaque à un seul système à hacker et aucun système n’est invulnérable, et au final, nous augmentons le « gain » d’accéder aux informations contenues et donc le « profit » et l’attrait possible. De plus, la fuite de données issues d’une telle base d’information serait très problématique du fait du caractère persistant de certaines informations comme les empreintes digitales et donc amplifie le risque d’usurpation d’identité. Il n’a pas non plus été précisé comment les données étaient mises à jour et s’il était prévu que des données puissent être retirées et dans quelles situations.
Conclusion, nous sommes dans une situation « borderline » avec ce genre de mesures et la frontière peut être malheureusement très vite franchie. La posture ni pour ni contre, bien au contraire, est assez censée.