Le Sénat débattra cet après-midi du décret du 28 octobre 2016 qui instaure le fichier dit des « Titres Électroniques Sécurisés « , soit la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes d’identité.
Concrètement cela veut dire que désormais, les Français verront fichées toutes leurs données de filiation mais également leurs données les plus personnelles à caractère biométrique: leurs données biologiques, l’image numérisée de leur visage ou encore leurs empreintes.
Ce débat est une séance de rattrapage pour le Ministre de l’Intérieur qui , si la Presse ne l’avait pas découverte, si le CNN , la CNIL et des parlementaires ne s’en étaient émus, faisait passer cette décision des plus lourdes de conséquences en catimini, le jour férié de la Toussaint.
De quoi s’agit il ? Objectif affiché : authentifier les documents, lutter contre la fraude et l’usurpation d’identité. Mais également authentifier les données de certains individus puisque une première exception est prévue en cas de réquisition judiciaire. Si cet usage exige l’intervention d’un juge, à long terme , on peut légitimement s’inquiéter d’une évolution vers l’identification même avec toutes les utilisations qui pourraient être faites d’un tel fichier, pour peu que l’on tombe sous la coupe d’un régime peu scrupuleux en matière de libertés publiques…
Authentifier n’est pas (encore) identifier. Mais on rappellera utilement que tout essai d’identification a par le passé été censuré par le Conseil Constitutionnel suite à la tentative de création d’un premier projet de fichier centralisé appelé « Safari » en 1974. On se souviendra que c’est à partir de là que fut débattue puis votée la loi dite « Informatique et Libertés » et que la CNIL fut créée ! On peut aussi évoquer l’affaire du fichier « Edwige » qui, en 2008, suscita elle aussi inquiétudes et vifs débats.
Car malgré les finalités avancées par le gouvernement qui tente à tout pris de rassurer, la création d’une telle base centralisée de données personnelles aux mains de l’administration est alarmante.
Elle est par ailleurs inutile car il est aujourd’hui possible de lutter contre l’usurpation d’identité en stockant l’identité biométrique de l’individu dans le document d’identité lui-même, certifié et infalsifiable. C’est le cas en Estonie, pays européen très avancé en matière d’utilisation des nouvelles technologies . Il existe ainsi d’autres architectures techniques permettant d’intégrer, dès la conception des objets, la préservation des données à caractère personnel. C’est le « privacy by design », dont j’évoquais la nécessité dans la proposition n°16 de mon rapport de 2013 intitulé « L’Union européenne, colonie du monde numérique ? ». Une exigence rendue par ailleurs nécessaire face à la démultiplication des données via les objets connectés amenés à être de plus en plus nombreux dans les années à venir .
Un tel dispositif intégré à la base aux documents d’identité permettrait l’authentification, tout en permettant à chacun d’être détenteur de ses propres données, ce qui est essentiel.
Par-dessus-tout, personne ne peut écarter l’hypothèse qu’un tel fichier ouvrirait la voie à des pratiques potentiellement contraires aux principes fondamentaux qui fondent notre République. Je pense par exemple au détournement des informations contenues dans cette base de données à des fins autres. Les risques de piratage ne sont pas non plus a écarter…
L’affaire Snowden a en effet bien montré que nous étions rentres dans un monde d’hypersurveillance et de vulnérabilité. Ce n est pas parce que nous sommes désormais habitués à la collecte massive de nos données à travers les échanges en ligne, que la mutation numérique qui touche tous les domaines entraîne une captation et une circulation toujours plus grande de celles-ci, que l’on doit trouver normale la mise en place un tel système. Cette surveillance généralisée, notamment pour des motifs sécuritaires, n’est pas une fatalité : d’autres solutions existent.
Ne soyons pas naïfs ! Dans une économie toujours plus mondialisée, il faut avoir conscience que l’enjeu n’est plus tant la maîtrise des réseaux que celles des données , nouvel « or noir » du numérique. Que leur captation, leur conservation et utilisation sont devenus des enjeux de taille. Toutes ces raisons exigent que soit enfin pris à bras le corps ce sujet.
Au delà de l’adoption du règlement en 2018, le défi est de disposer d’une politique efficace de sécurisation de nos données personnelles permettant aussi d’assurer la confiance de nos concitoyens en l’économie du web, à travers laquelle demain tout passera .
Nous devons donc absolument reprendre sérieusement ce débat, légitimement souhaité par la Secrétaire d’Etat au Numérique qui a courageusement fait entendre une voix différente du Ministre de l’Intérieur.
Quand nous dénoncions lors des débats sur la loi « République Numérique » il y a quelques mois de cela l’absence de stratégie et de coordination gouvernementale sur ces sujets de la plus haute importance, nous avions décidément raison… et je le déplore !
Place à la transparence sur la question de nos données personnelles !