Fichier TES : le CNNum réaffirme ses préoccupations et invite le Gouvernement à expliciter le plan d’action correspondant aux recommandations de l’ANSSI et de la DINSIC
Communiqué
A l’occasion de la réunion plénière de ses membres le 3 février, le Conseil national du numérique a auditionné les directeurs Guillaume Poupard et Henri Verdier au sujet de leur mission d’expertise conjointe sur la sécurité du fichier TES. Suite à cette audition, le Conseil réaffirme ses préoccupations et invite le Gouvernement à expliciter le plan d’action correspondant aux 11 recommandations d’évolution listées dans le rapport de l’ANSSI et de la DINSIC.
Plus généralement, le CNNum appelle les candidats à l’élection présidentielle à exprimer leur position sur le fichier TES et son évolution à moyen terme, ainsi que sur la construction d’une nouvelle gouvernance des choix technologiques au sein de l’État.
À la suite du débat public qui s’est noué après la publication du décret sur le fichier TES, le 28 octobre 2016, le Gouvernement a ouvert un dialogue utile avec le Parlement et la société civile et a confié à l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et la Direction interministérielle du numérique et du système d’information et de communication de l’État (DINSIC) le soin de procéder à une mission d’expertise conjointe sur la sécurité du système et des procédures.
Le Conseil salue la pertinence et l’utilité du travail, effectué dans des délais contraints, mené par l’ANSSI et la DINSIC. Leurs conclusions confortent les préoccupations exprimées par les contributeurs à la consultation menée sur le site tes.cnnumerique.fr et soulignées dans l’avis du CNNum du 9 décembre 2016. Le Conseil regrette cependant le périmètre restreint de cette saisine, qui portait uniquement sur le système TES existant depuis 2008 pour les passeports, laissant — comme le souligne les auteurs — de nombreuses questions ouvertes “sur la trajectoire fonctionnelle et technique du système TES à moyen et long terme”.
Plus fondamentalement, le Conseil déplore le choix partiel et partial de communication du ministère et de certains élus, consistant à ne retenir de ce travail qu’une conclusion tronquée afin de justifier la généralisation dans les prochaines semaines de l’utilisation de TES pour délivrer des cartes nationales d’identité. En effet, si le rapport mentionne bien que “les principes de conception du système TES sont compatibles avec la sensibilité des données qu’il contient”, il pointe néanmoins “un certain nombre de vulnérabilités de gravité variable” — non précisées pour des raisons de sécurité. Une partie des failles découvertes étaient vraisemblablement présentes depuis plusieurs années. Ce constat est particulièrement alarmant dans un contexte où les fuites de données sont légion et où la situation géopolitique internationale appelle à redoubler de vigilance quant aux données sensibles de nos concitoyens.
Un point en particulier a soulevé de vives inquiétudes : le détournement possible de finalités et l’utilisation du système TES afin de rechercher l’identité de citoyens à partir de leurs traces biométriques (identification). Ici, le rapport conclut que “TES peut techniquement être détourné à des fins d’identification, malgré le caractère unidirectionnel du lien informatique mis en oeuvre pour relier les données d’identification alphanumériques aux données biométriques”. Or, l’impossibilité — aussi bien technique que juridique — de rechercher l’identité d’une personne avait pourtant été mise en avant depuis le départ pour justifier la mise en oeuvre de TES. En effet, l’identification d’une personne par ses empreintes digitales est particulièrement encadrée en droit français (une liste limitative de 4 cas est précisée à l’article 16-11 du Code civil), et la constitution d’un fichier d’identification des personnes à partir de leurs empreintes ou de leur photo avait notamment conduit le Conseil constitutionnel à censurer le projet de carte nationale d’identité électronique en 2012.
Le Conseil considère que les conclusions de cet audit sont incompatibles avec une généralisation à la hâte du système TES. Compte tenu des réserves importantes exprimées par la mission, elles devraient à l’inverse conduire le Gouvernement à séparer les deux sujets que sont la mise en place du fichier TES de l’implémentation du Plan Préfecture Nouvelle Génération (PPNG). Si le calendrier du plan de modernisation des préfectures n’est pas à remettre en cause, l’authentification biométrique pour la délivrance des cartes d’identité n’en est pas un élément indispensable. Comme cela avait été souligné dans l’avis du CNNum, le rapport d’audit mentionne en effet que “la centralisation des données biométriques pour la carte nationale d’identité n’a pas actuellement un intérêt direct pour leur gestion. Leur utilisation se borne en effet au cas des réquisitions judiciaires”.
Le CNNum invite en outre le Gouvernement à expliciter le plan d’action correspondant aux 11 recommandations d’évolution listées dans le rapport, et dont la première consiste à chiffrer les données en confiant à une autorité tierce la capacité de les déchiffrer. L’usage des données biométriques se limitant actuellement à la réponse à de potentielles réquisitions judiciaires, ne pas mettre en place à court terme une telle protection serait un choix idéologique et non une nécessité législative ou technique.
Plus généralement, le CNNum appelle les candidats à l’élection présidentielle à exprimer leurs positions sur le fichier TES et son évolution à moyen terme. L’usage de données biométriques par les autorités judiciaires est un point particulièrement sensible. Au-delà, le débat sur le fichier TES ouvre des questions techniques, organisationnelles, mais aussi éthiques sur la banalisation de la biométrie. L’Office parlementaire d'évaluation des choix scientifiques et technologiques (OPECST), qui avait notamment préparé la révision de la loi n° 2004-800 relative à la bioéthique, pourrait utilement être missionné par le prochain gouvernement de se saisir de ces enjeux. Une mission associant l’ensemble des parties prenantes (ministère de l’Intérieur, ANSSI, DINSIC, CNIL, laboratoires de recherche, acteurs économiques...) pourrait aussi être lancée pour analyser les alternatives techniques, notamment la conservation des éléments biométriques sur un support individuel exclusivement détenu par la personne, comme recommandé par la CNIL.
Au delà du cas TES, le Conseil réaffirme la nécessité de poursuivre l’adaptation de l’État et de ses organes afin de prendre les meilleures décisions technologiques possibles au regard, notamment, de leurs implications politiques, économiques et sociétales. Ces enjeux méritent d’être au cœur de la campagne présidentielle et de l’action du prochain gouvernement. Le Conseil a émis plusieurs propositions en ce sens. En attendant l’instauration de cette nouvelle gouvernance, il y a urgence à suspendre la généralisation du projet TES.
Comprendre les enjeux autour du fichier TES
Qu’est-ce que le système « TES » et pourquoi l’utiliser pour délivrer des cartes nationales d’identité?
Créé en 2008, le système titres électroniques sécurisés (« TES ») est utilisé pour délivrer des passeports. Il s’agit d’une base de données contenant actuellement environ 15 millions de jeux de données. Dans le cadre du plan « préfectures nouvelle génération », il a été décidé d’utiliser le système TES pour délivrer des cartes nationales d’identité et le Gouvernement a publié un décret le 30 octobre 2016, prévoyant la création de ce nouveau fichier.
Le futur fichier fusionnera la base TES relative aux passeports avec celle des cartes nationales d’identité, appelée Fichier National de Gestion (FNG), désormais obsolète. Les données conservées dans la base fusionnée seront des données alphanumériques d’état civil (nom, prénoms, date et lieu de naissance, sexe, liens de filiation), des données personnelles (couleur des yeux, taille, adresse au moment de la demande) et des images numérisées d’une photographie d’identité, de deux empreintes digitales et de la signature du demandeur. Pour les cartes nationales d’identité, ces données sont conservées pendant 20 ans (15 ans pour les mineurs). Il devrait concerner à terme près de 60 millions de Français.
Pour quelles raisons un rapport d’audit de la sécurité de « TES » a-t-il été commandé ?
Déplorant l’absence de concertation préalable sur ce sujet rendu essentiel par la nature des données enregistrées, le nombre de personnes concernées, et le choix d’une architecture technique centralisée, le Conseil national du numérique a décidé de s’autosaisir le 7 novembre 2016. Il a appelé le Gouvernement à suspendre la mise en œuvre de ce décret afin d’examiner des alternatives tenant compte de l’état de l’art technique et respectant les droits et libertés des citoyens.
Le Parlement a été amené à débattre de ce sujet en séance publique, en présence du ministre de l’intérieur d’alors, Bernard Cazeneuve. Deux décisions ont été prises en novembre dernier :
-
première décision : faire évoluer les textes pour permettre aux demandeurs qui s’opposeraient au versement dans une base centralisée de leurs empreintes numérisées de s’y opposer. La modification du décret à cette fin est en cours, la CNIL étant saisie d’un projet ;
-
deuxième décision : procéder à un audit indépendant sur le niveau de sécurité du système « TES » en particulier pour ce qui concerne la maîtrise des risques de piratage de données personnelles sensibles et de détournement des usages de ces données.
Sur la base des contributions recueillies sur une plateforme de consultation dédiée (tes.cnnumerique.fr), le Conseil a rendu son avis au Gouvernement le 9 décembre 2016.
En savoir plus :
-
Décret n° 2016-1460 du 28 octobre 2016 autorisant la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033318345&categorieLien=cid
-
Délibération n° 2016-292 du 29 septembre 2016 de la CNIL sur le projet de décret : https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000033318979
-
Communiqué de presse annonçant l’autosaisine du CNNum : https://cnnumerique.fr/cp_fichier_tes/
-
Concertation publique en ligne sur les enjeux et les risques relatifs au fichier TES : https://tes.cnnumerique.fr/ (la synthèse des consultations est disponible sur la plateforme)
-
Avis du CNNum sur le fichier TES - decembre 2016 : https://cnnumerique.fr/fichier-tes-avis/
-
Rapport d’audit de l’ANSSI et de la DINSIC : http://www.interieur.gouv.fr/Actualites/Le-systeme-des-titres-electroniques-securises/Systeme-TES-publication-du-rapport-de-l-ANSSI-et-de-la-DINSIC
-
Foire aux questions sur le site du Ministère de l’intérieur : http://www.interieur.gouv.fr/fr/Actualites/Le-systeme-des-titres-electroniques-securises/Le-systeme-TES-foire-aux-questions
-
Communiqué de la CNIL suite à la publication du rapport ANSSI / DINSIC : https://www.cnil.fr/fr/rapport-anssi-dinsic-sur-le-fichier-tes-une-forte-convergence-avec-lavis-de-la-cnil
_______________________
________________________