Le Conseil national du numérique demande la suspension du fichier biométrique

Le 30 octobre dernier, profitant du pont de la Toussaint, le gouvernement publie en catimini un décret n°2016-1460 actant la création d’un fichier des « titres électroniques sécurisés » (TES). Une base de données gigantesque centralisant l’ensemble des données d’identité détenues par différentes administrations sur 60 millions de Français.

Un décret synonyme d’absence de débat public qui passe mal. En effet, son ampleur impressionne et ravive les craintes d’une surveillance étatique de la population. La CNIL a d’ailleurs apporté de sérieuses réserves, sans qu’elles aient toutefois été prises en compte.

Le CNNum demande la suspension du fichier TES

En fin de semaine dernière, le Conseil National du Numérique s’est autosaisi du dossier.

En réunion plénière, les membres du #CNNum viennent de s’auto-saisir du fichier TES #FichierDesHonnetesGens pic.twitter.com/IV1lLWHSGU

— CNNum (@CNNum) 4 novembre 2016

L’institution consultative indépendante, dirigée par Mounir Mahjoubi depuis février dernier, a pour mission de « formuler de manière indépendante et de rendre publics des avis et des recommandations sur toute question relative à l’impact du numérique sur la société et sur l’économie ».

Ce lundi matin, le CNNum appelle à une suspension de la mise en œuvre du projet et précise « examiner des alternatives techniques plus modernes et respectueuses des droits et libertés ».

[Communiqué de presse] Le CNNum appelle le Gouvernement à suspendre le #FichierMonstre >>https://t.co/6vFq5b0hWw cc: @BCazeneuve @JJUrvoas pic.twitter.com/x5hRRvNt9Y

— CNNum (@CNNum) 7 novembre 2016

Absence de débat public

Dans son communiqué, le CNNum rappelle que ce fichier, « présenté comme un moyen de lutte contre la fraude documentaire », « pourra néanmoins faire l’objet de réquisitions judiciaires ou être utilisé par les services spécialisés de renseignement ».

Il déplore donc « l’absence de toute concertation préalable à la publication de ce décret », notamment avec « les communautés d’experts » pour tenter d’explorer des « alternatives techniques plus résilientes et respectueuses des droits des citoyens », tout en poursuivant les mêmes objectifs.

Le CNNum ne manque pas de rappeler que ce décret « s’inscrit à rebours de la démarche de consultation initiée par Axelle Lemaire sur les décrets d’application de la loi pour une République numérique ». La secrétaire d’État au Numérique Axelle Lemaire n’a même pas été consulté sur ce dossier : « Ce décret a été pris en douce par le ministère de l’Intérieur, un dimanche de la Toussaint, en pensant que ça passerait ni vu ni connu. C’est un dysfonctionnement majeur », a-t-elle dénoncé. Définitivement adoptée il y a un mois à peine, cette loi est censée apporter de nouveaux droits aux internautes.

Un risque de dérive trop important

Autant de contradictions qui soulèvent les inquiétudes du Conseil.

« Dans un monde numérique où le code fait la loi, l’existence d’un tel fichier laisse la porte ouverte à des dérives aussi probables qu’inacceptables »

Des dérives qui pourraient intervenir dans le cadre d’une « grave actualité » et s’opérer par des « détournements massifs de finalités ». Un tel fichier centralisé « suffit mécaniquement à susciter des appétits », puisqu’il pourrait « à terme permettre l’identification systématique de la population avec les moyens de la reconnaissance faciale ou de la reconnaissance d’image, à des fins policières ou administratives », s’inquiète le CNNum.

Un fichier centralisé est une cible inespérée pour les hackers

En mai dernier, L’Assemblée Nationale a refusé d’autoriser les forces de l’ordre à recourir à la vidéosurveillance croisée avec la reconnaissance faciale, alors que Christian Estrosi, qui teste actuellement cette technologie à Nice, l’appelle de ses vœux.

« L’histoire récente nous enseigne que la constitution de tels fichiers a régulièrement conduit à l’élargissement de leurs finalités initiales​, qu’ils s’opèrent dans un cadre légal (comme pour le système Eurodac des demandeurs d’asile, le fichier des demandeurs de visa ou encore le STIC) ou hors de tout contrôle (rappelons que l’absence d’encadrement était, jusqu’à une époque récente, caractéristique de l’activité des services de renseignement). Penser que notre pays ferait exception revient à ignorer les leçons de l’histoire et des comparaisons internationales. Les reculs démocratiques et la montée des populismes, observés y compris en Europe et aux États-Unis, rendent déraisonnables ces paris sur l’avenir. » (CCNum)

Au chapitre des dérives, le CNNum n’oublie pas de préciser que « ce décret intervient à un moment où les cybermenaces se font redoutables, et où tout indique que ces risques ont changé d’échelle : rappelons que de façon inédite, l’issue des élections américaines peut en partie dépendre des conséquences de piratages d’Etats. Dans ce contexte, le choix de la centralisation revient à créer une cible d’une valeur inestimable, face à des adversaires qui ne sont pas des amateurs. »

L’inviolabilité du fichier est impossible à garantir

Qu’adviendra-t-il lorsqu’il ne s’agira plus de 500 millions de comptes mail Yahoo piratés, mais des données biométriques de 500 millions de citoyens à travers le monde ?

D’autant qu’ « en matière de sécurité informatique, aucun système n’est imprenable », rappelle le Conseil National du Numérique. « Les défenses érigées comme des lignes Maginot finissent immanquablement par être brisées. Comme le soulignait par ailleurs Jean-Jacques Urvoas en 2012 (au sujet de la proposition de loi qui a semble-t-il inspirée ce décret), ce n’est qu’une question de temps ».

Un temps que ne semble pas vouloir prendre le gouvernement : la première application du décret pourrait intervenir dès le 8 novembre dans les Yvelines. De son côté, le Conseil National du Numérique travaille sur des alternatives techniques à cette base centralisée et demande à toute personne désireuse de les aider à les contacter ([email protected]). En attendant, il demande au gouvernement de suspendre ledit fichier.