Le fichier des titres électroniques sécurisés est validé

Ce qui ne me surprend guère.

 

Et pour cause, il s’agit d’une base de données gérée par ministère de l’Intérieur qui rassemble les données personnelles et biométriques des « Gauloisiens » uniquement pour la gestion des cartes nationales d’identité et des passeports.

Je veux croire, tiens !

D’ailleurs nous en avons déjà parlé l’année dernière…

« En marche ! » vers la dictature : Même-pas-en-rêve !

Puisqu’on est en plein dans la « démocrature 1.0 »…

 

Soyons plus précis : Vous êtes fichés depuis votre naissance et jusqu’à votre décès. On sait tout de vous pratiquement en temps réel. Pour ça, il suffit d’un programme « butineur », comme a su en mettre en place la NSA dans les années 2000, « Pas-lentir » dans les années 2010 (celui-là possède même un dérivé « prédictif »), le département de la justice US dans les années dans les années 80 (le programme « PROMIS »).

Vous avez plein d’applications de « micro-marketing » qui vous ciblent sans que vous le sachiez (« Gogol » et « Fesses-book » en font leurs choux gras…) jusqu’à même guider votre main au-dessus des urnes.

C’est la « démocrature » type 2.0…

On l’a vu à l’œuvre en Irlande, on l’a vu aux USA, au moment du Brexit et même sous vos tropiques en mai dernier.

En bref, je ne suis pas étonné.

 

Et personnellement, je m’y suis fait (alors que j’en avais la trouille) quand je me suis rendu compte que je suis fiché de partout : Fichier de l’état-civil, numéro INSEE, papiers bio-métrés naturellement, certificat de baptême, diplômes universitaires, armée (même avec mon QI mesuré à mes 20 ans), dossier médical (qui commence à s’épaissir), les fichiers bancaires (mes comptes, ceux sur lesquels j’ai procuration) et celui attaché des « incidents de paiement », cartes-Visa/Master-Cards, mes retraits d’espèce, où-quand-combien, permis de conduire, permis de voler, permis de « voiler », mes autos (achetées ou louées et même revendues : Cartes grises), mes passages sous les caméras de vidéo-surveillances à Londres et ailleurs et leurs logiciels de reconnaissance faciale (souvenez-vous des portiques des « fan-zones »…), tout comme ceux aux péages de mes passages sous les portiques d’autoroute ou d’eurotunnel, mes téléphones (géo-localisés), mes mandats sociaux (registre du commerce et des sociétés, mais aussi celui des artisans, des agriculteurs si j’en avais été…), mes biens fonciers (cadastre), les fiches d’hôtel, le registre des locations meublées, ou non, mes factures d’eau, d’électricité, d’alcools et de bières et du reste (sauf les préservatifs que j’achète en distributeurs automatiques, mais notez que chaque billet de banque a un numéro unique – pas les pièces de monnaie – qui permet de retracer son parcours entre deux passages au guichet d’une banque), mes reçus de livraison, mes ordres de services, mes dossiers fiscaux ici et encore là et même ailleurs, mon compte de Sécurité sociale européen, mes billets d’avion, de train, mes tickets d’achat d’essence…

Et je dois en oublier, bien entendu.

En revanche je suis absent dans le fichier des empreintes génétiques, dans celui des empreintes d’étrangers (légaux ou illégaux) qui séjournent en « Gauloisie-des-libertés », mais pas dans le fichier « STIC », puisque même sans être l’auteur d’une infraction (ça c’est le casier judiciaire et/ou le casier des points du permis de conduire), dès lors que vous avez affaires avec la justice (en demande ou comme témoin), vous êtes fichés sans le savoir.

Alors un de plus ou de moins…

 

D’autant que la controverse est, à mon sens, mal plantée : Les données du fichier TES contiennent l’identité (déclarée), le sexe (déclaré), la couleur des yeux (déclarée), la taille (approximative déclarée), une adresse certifiée du domicile (facture EDF ou attestation d’un tiers et de sa facture EDF de moins de 3 mois), les données relatives à la filiation (les noms, prénoms, dates et lieux de naissance des parents, leur nationalité) issues de l’état-civil, l’image numérique du visage (n’importe lequel) et de la signature de l’impétrant ainsi identifié, il gère en plus l’adresse e-mail (déclarée : Devinez combien j’en ai dont certaines perdues à jamais pour avoir été piratées) et les empreintes digitales de tous les détenteurs d’une carte nationale d’identité ou d’un passeport gauloisien, tout cela n’est rien par rapport à tout le reste.

Il est vrai que d’autres données sont également conservées, comme les informations relatives au titre en lui-même ainsi que les données relatives au fabricant du titre et aux agents chargés de la délivrance du titre.

Mais ça ne vous regarde pas.

Et c’est justement là l’objectif du fichier TES validé par le Conseil d’État.

 

Comme nous l’avions vu, il est prévu que l’ensemble de ces données à caractère personnel et d’informations enregistrées sont conservées pendant quinze ans s’il s’agit d’un passeport et vingt ans s’il s’agit d’une CNI ou respectivement de dix ans et de quinze ans lorsque le titulaire du titre est un mineur.

Les empreintes digitales, évidemment, on n’en change pas comme ça.

En revanche, la physionomie, la couleur des yeux, la taille même, ça se grime et ça se modifie au cours d’une vie…

Et je rappelle qu’à l’origine, le projet était de regrouper les données d’état-civil et les données biométriques, soit la création d’un fichier national traitant les données à caractère personnel commun aux passeports et aux cartes nationales d’identité.

Le fichier TES avait été annoncé par le décret n° 2016-1460 du 28 octobre 2016, publié en plein pont du premier novembre pour passer inaperçu : Loupé !

Dès le lendemain de la parution au Journal officiel, Marc Rees, journaliste au site Next INpact, s’inquiétait bêtement de sa création. Il soulignait qu’un projet similaire avait été rejeté par le Parlement en 2012 et rappelait les réserves de la Commission nationale de l’informatique et des libertés : La CNIL annonçait qu’il aurait été possible d’envisager l’introduction d’une puce électronique dans les documents d’identité qui aurait permis de stocker les informations biométriques de manière décentralisée.

Oui, bon, elle y est… pucée… Comme votre carte Vital et votre carte bleue ou votre pass-navigo.

À Londres aussi, mais personne ne sait qui en est le détenteur, sauf à rapprocher les paiements avec une carte visa personnelle… Pas de photo, juste une façon de payer son transport dans le Tube ou les « impériaux » du réseau

 

Sur ce, le 7 novembre 2016, le Conseil national du numérique a appelé le gouvernement à suspendre la mise en place du fichier TES et rappelle le risque de détournement des finalités du fichier ainsi que les risques de piratage : Je vous demande un peu.

Vous n’étiez peut-être pas né(e)s, mais le 14 novembre 2016, l’Observatoire des libertés et du numérique qui regroupe le Syndicat de la magistrature, le Syndicat des avocats de France, la Ligue des droits de l’Homme, La Quadrature du Net, le Centre d’études sur la citoyenneté, l’informatisation et les libertés (CECIL) et le Centre de coordination pour la recherche et l’enseignement en informatique et société (CREIS-Terminal) a publié un communiqué commun pour dénoncer ce projet.

Soyons clairs : Nous étions encore en démocratie, au moins à ce moment-là et les opinions ont encore libre-cours !

La démocratie, vous savez, c’est « cause toujours »…

Le Conseil national du numérique publie alors en décembre son avis dans lequel il « s’interroge sur la nécessité de stocker de manière centralisée des informations aussi sensibles ».

Le 30 mars 2017, le fichier TES est déployé sur l’ensemble du territoire.

Le 10 mai 2017 la délibération n° 2017-058 du 16 mars 20179 mentionne que la CNIL a été saisie au sujet de l’enregistrement des empreintes digitales pour le fichier TES. La prise des empreintes se fait alors sur papier via un formulaire spécifique qui est conservé par le service instructeur et la publication précise qu’il est impossible de s’opposer à l’enregistrement dans le fichier central des empreintes pour le passeport.

Et pour cause, ça existe déjà depuis des lustres (Je n’étais pas né moi-même… un autre millénaire !)

Pour se terminer le 18 octobre 2018 où le Conseil d’État rejette les recours pour excès de pouvoir dont il avait été saisi contre le décret autorisant le fichier TES.

Décision parfaitement logique…

 

En bref, les informations de plus de 66 millions de personnes ne constituent pas une « atteinte disproportionnée » à la vie privée selon le Palais Royal.

Le Conseil d’État n’a eu cure de toutes les requêtes adressées contre le décret.

Mis en œuvre sous le mandat de « Tagada-à-la-fraise-des-bois », le TES devait apporter des « simplifications administratives » selon le ministre de l’Intérieur de l’époque, « Nanar-Case-nouvelle ».

Qu’est-ce donc qu’ils pouvaient en craindre ?

 

Les détracteurs du méga-fichier estiment qu’il ne prévoit pas assez de garanties contre les risques d’abus et de piratage !

Selon eux cette gigantesque base de données est au mieux inutile, au pire dangereuse. Faux !

Il s’agit seulement de « tracer » le document émis pour « l’authentifier » au premier contrôle.

D’autant que selon les dispositions du décret « seuls les personnels chargés de l’instruction des demandes de titres peuvent accéder aux données contenues dans le traitement automatisé litigieux », soulignent les juges administratifs. « Dans ces conditions, la consultation des empreintes digitales contenues dans le traitement informatisé ne peut servir qu’à confirmer » l’identité de la personne demandant un renouvellement de titre « ou à s’assurer de l’absence de falsification des données », argumentent les autorités assermentées. Que ça va être plus compliqué de faire de « vrai-faux » comme du temps du « cousin-Pasquale » et son pote « Didier Schuller »…

Et pour le Conseil d’État, la collecte des images numérisées et empreintes digitales, la conservation des données – limitée à quinze ans – et leur traitement par une autorité publique présentent des restrictions et précautions suffisantes : Ils « ne portent pas au droit des individus au respect de leur vie privée une atteinte disproportionnée aux buts de protection de l’ordre public en vue desquels ce traitement a été créé », estime la haute juridiction.

« On reste convaincu que le dispositif est fragile, donc porteur de risques, compte tenu de son caractère massif », en dit en réplique Maître Gury.

 

Il faut reconnaître que ça reste « sensible ». On est dans le champ d’une doctrine de la CNIL : Les données biométriques ne sont pas des données comme les autres aux yeux de la loi sur les données personnelles, et la Commission nationale de l’informatique et des libertés (CNIL) est pointilleuse lorsque lui est soumis un fichier biométrique (elle vient de le refuser pour les pointeuses dans les entreprises…)

D’abord, parce qu’à l’inverse d’un mot de passe les données biométriques comme les empreintes digitales ne peuvent pas être changées en cas de piratage ou d’usurpation. Ensuite, il est techniquement possible de récupérer des empreintes digitales laissées par une personne sur les objets qu’elle touche. C’est ce qu’explique la CNIL dans son avis, consultatif, au sujet du fichier TES : « Les données biométriques présentent la particularité de permettre à tout moment l’identification de la personne concernée sur la base d’une réalité biologique qui lui est propre, qui est permanente dans le temps et dont elle ne peut s’affranchir. Ces données sont susceptibles d’être rapprochées de traces physiques laissées involontairement par la personne ou collectées à son insu et sont donc particulièrement sensibles. »

Notez qu’elle peut aussi mettre des gants.

« Des photos du visage peuvent être prises et les empreintes digitales relevées sans le consentement de l’utilisateur. Il faut utiliser des éléments biométriques qui nécessitent le consentement », comme par exemple les réseaux veineux de la main, explique un cryptologue et mathématicien israélien de renom qui se bat depuis une dizaine d’années contre un projet de base de données biométriques nationale porté par son propre gouvernement.

Comme quoi, on peut poser le visage de n’importe qui sur une identité fantaisiste et le tour est joué.

Il n’y a vraiment que l’ADN qui serait imparable, mais on sort du TES…

 

Noter que les opposants au fichier TES ont toujours craint que ce dernier serve non seulement à « authentifier » des citoyens, mais également à les « identifier ».

Remarquez, des « papiers d’identité », ça sert justement à … identifier !

Il s’agit pourtant là d’une distinction fondamentale qui enflamme les esprits : En effet, un fichier utilisé pour « authentifier » un individu, en comparant ses empreintes digitales pour s’assurer qu’il s’agit des mêmes que celles qui sont en mémoire, serait moins intrusif qu’un fichier utilisé pour identifier un individu, c’est-à-dire obtenir son identité à partir, par exemple… des empreintes digitales.

Personnellement, je ne vois pas bien la différence : Puis-je identifier sans authentifier (ce qui serait débile) et puis-je authentifier sans pour autant identifier ?

Style « j’affirme que c’est lui, mais je ne sais pas qui c’est ! »

Ou inversement : « Je sais qui il est, mais je n’en suis pas sûr… »

Avouez que la distinction peut apparaître nébuleuse, n’est-ce pas…

De effets des controverses byzantines…

 

Du coup le fichier TES tel que prévu par le gouvernement ne permet pas d’identifier, mais seulement d’authentifier le titre présenté…

Pour lutter notamment contre la fraude aux papiers d’identité. Concrètement, pour s’assurer qu’une personne demandant un document d’identité n’a pas déjà fait des demandes identiques sous d’autres noms, on regardera si ses empreintes ont déjà été enregistrées.

Autrement dit, si l’utilisation dudit fichier est aujourd’hui clairement délimitée, ne pourrait-il pas avoir dans un second temps ses finalités élargies ?

C’est l’ultime crainte affichée par ses opposants : L’exemple du fichier des empreintes génétiques, dont les finalités ont été notablement élargies depuis sa création, est fréquemment avancé. « Il est évident que ce n’est pas du tout aujourd’hui dans les finalités du fichier qui a pour vocation de lutter contre l’usurpation d’identité, (mais) cet outil de grande ampleur peut faire craindre qu’il puisse être utilisé à d’autres fins, peut-être pas aujourd’hui mais demain. »

Une critique partagée par le Conseil national du numérique, qui déclare dans un communiqué : « Les reculs démocratiques et la montée des populismes, observés y compris en Europe et aux États-Unis, rendent déraisonnables ces paris sur l’avenir. »

Là, j’en suis d’accord : Une « Marinella-tchi-tchi » à la tête de l’État peut en pervertir l’usage, elle ou « Jupiter » ou n’importe quel autre, naturellement…

D’autant que l’outil légal adopté par le gouvernement, un décret et non une loi, laisse en tout cas à ce dernier une plus grande souplesse pour en aménager les modalités. « À  partir du moment où la base de 60 millions de personnes est là, on peut ajouter une fonction de recherche par exemple. C’est d’autant plus facile qu’on est sur une base réglementaire, pas besoin d’adopter une nouvelle loi ».

Notez qu’on doit ce fichier à des « soces », auto-désignés « forces de progrès », « progressistes » voire « humanistes » : Rien à craindre, n’est-ce pas, même si les officines-privées ne se gênent pas pour faire sans décret (pour les banquiers, les assureurs et même les employeurs-potentiels).

La défense a bien les moyens d’investigation pour vous habiliter « Secret-Défense » ou non…

D’autant que ce fichier est « techniquement organisé » de sorte qu’il soit impossible de récupérer une identité à partir d’une empreinte digitale, nous asssure-t-on.

Fondamentalement, on s’en fout : Le « Sommier » de la police judiciaire existe depuis l’avant « première-guerre » et fait très bien le boulot.

 

Alors en désespoir de cause on en dit que « on passe à un fichier national qui concerne tous les Français. Cela n’a jamais été fait et je crois que cela nécessite un débat au Parlement. Il ne nous paraît pas convenable qu’un changement d’une telle ampleur puisse être introduit, presque en catimini, par un décret publié un dimanche de Toussaint. » Ça pourrait ne rien changer, le Parlement validant le décret…

Et la vulnérabilité à un piratage est pointée du doigt : « On sait de longue date en sécurité informatique que la centralisation représente une source de risque car elle désigne à un attaquant une cible très tentante, et toute attaque peut avoir des impacts majeurs », explique un chercheur en informatique à l’Institut national de recherche en informatique et en automatique (Inria).

Récemment, la base de données de l’administration américaine contenant les données personnelles, dont des empreintes digitales, de 21,5 millions de fonctionnaires américains, a été piratée. Parmi les victimes figurent plusieurs millions de fonctionnaires, dont certains agents des services de renseignement.

En Israël, où un projet pilote de base de données biométrique centralisée est expérimenté depuis quelques années, les dirigeants du Mossad (service de renseignement extérieur) et leurs collègues du Shin Beth (service de contre-espionnage) ont interdit à leurs agents de fournir leurs empreintes digitales, craignant une fuite de données…

Quant à vos comptes « Fesses-Book », ça fait longtemps qu’ils circulent sur le « dark-net » et on repère même les bases militaires « secrètes » avec les montres connectées des types qui y logent et font leur footing matinal tout autour…

Et ça ne semble pas vraiment vous gêner.

 

Alors tempête dans un verre d’eau ?

Bé oui, il fallait se réveiller avant : Désormais il y a trop de fichiers (exploitables en temps réel ou non) pour en trier les bons des mauvais. Le Conseil d’État reste donc parfaitement logique avec tout le reste.

Désolé…