La Commission des Lois du Sénat a souhaité auditionner la Présidente de la CNIL le 15 novembre à la suite de des nombreuses interrogations ou inquiétudes qui se sont exprimées après la publication du décret du fichier TES.
À l’occasion de son audition, Isabelle FALQUE-PIERROTIN a rappelé quelques notions essentielles pour bien comprendre le dispositif et le débat qui l’entoure. Elle a aussi présenté la teneur de l’avis que la Commission a rendu en formation plénière le 29 septembre.
La carte d’identité biométrique, une longue histoire
La présidente de la CNIL a tout d’abord rappelé que les termes du débat sont connus depuis plusieurs années. Il convient notamment de distinguer deux types d’usage d’une base centrale de données biométriques :
- un usage à des fins d’identification (permettant, à partir d’une trace comme une empreinte digitale, d’identifier la personne inscrite dans le fichier) ;
- et un usage à des fins d’authentification (consistant à confirmer, grâce aux empreintes, qu’une personne est bien celle qu’elle prétend être).
Elle a également rappelé la portée de la décision de 2012 du Conseil Constitutionnel sur la carte d’identité biométrique alors envisagée, ainsi que de la décision du Conseil d’Etat relative à la base des passeports, qui avait conduit à la seule conservation de deux des huit empreintes relevées.
Le fichier TES prévu par le décret
Le fichier envisagé fusionne les bases passeports et cartes nationales d’identité (CNI), en ajoutant, pour ces dernières, la collecte en base centrale de deux empreintes digitales, à l’instar de ce qui existe pour les passeports. La finalité poursuivie par le Gouvernement est la sécurisation de la délivrance des titres et la lutte contre la fraude.
Il s’agit donc d’un changement majeur d’échelle : de 15 millions à 60 millions de titres. En revanche, à ce stade, pour les deux systèmes, aucune identification biométrique n’est possible, ni juridiquement, ni techniquement (l’accès aux empreintes n’est possible que sur la base d’éléments d’identité, et non l’inverse).
La position de la CNIL
La Présidente de la CNIL a rappelé les principaux éléments de l’analyse de la CNIL :
- La CNIL considère tout d’abord qu’un tel fichier est d’une ampleur et d’une nature inégalée, puisqu’il constituerait le premier fichier quasi exhaustif des citoyens français contenant des données biométriques.
- Cette exhaustivité comme la sensibilité des données biométriques présentent un risque de détournement de finalité. Si la Présidente a rappelé que l’objet du fichier n’est pas actuellement de permettre l’identification des personnes à partir d’une empreinte, l’existence d’une base centrale de données biométriques peut susciter, à l’avenir, la tentation de développer une telle fonctionnalité.
- En outre, une telle base de données constitue une cible privilégiée en termes de cybercriminalité. Une récupération et une exploitation du fichier par des hackers aurait des conséquences considérables pour les personnes concernées.
Si la CNIL n’a pas vocation à prescrire des solutions alternatives, elle a cependant recommandé au Gouvernement :
- d’expertiser la solution d’une conservation des empreintes digitales dans une puce électronique sur la carte, ce qui exclurait les risques de détournement de finalité et de cyberattaque massive ;
- et, en tout état de cause, de procéder à l’enregistrement des seuls gabarits et non de la photographie des empreintes, également moins risquée.
Étant donné l’ampleur, l’exhaustivité et la sensibilité des données, la Présidente a rappelé que la CNIL avait demandé que la question de l’opportunité et des conditions de création d’un tel fichier soit portée devant le Parlement. Il s’agit en effet d’un débat de société sur lequel la représentation nationale doit se prononcer, et auquel la série d’auditions menée par le Parlement participe.