Gérer les risques
Aujourd'hui et demain

Cybersécurité

Série d'auditions au Sénat sur la création du fichier TES

Dans le sillage de Bernard Cazeneuve, ministre de l’intérieur, Mounir Mahjoubi (CNNum) et Isabelle Falque-Pierrotin (Cnil), la commission des lois du Sénat a auditionné ce mardi 29 novembre l'Anssi et la Dinsic.

Présidée par Philippe Bas (Les Républicains – Manche), la commission des lois du Sénat, a organisé une série d’auditions sur la création d’un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d’identité, communément appelé « méga-fichier TES » (Titres électroniques sécurisés), création prévue par le décret n° 2016-1460 du 28 octobre 2016. Parmi ces auditions, celles de l’Agence nationale de la sécurité des systèmes d’information (Anssi) et de la Direction interministériels du numérique et du système d’information et de communication de l’État (Dinsic).

15 minutes pour pirater la base de données TES
Il faut dire que la création du fichier TES a suscité bien des polémiques et, notamment, l’attaque du think tank GenerationLibre (à l’orientation libérale) qui a déposé une saisine devant le Conseil d’État. Évoquant un « excès de pouvoir », celle-ci conteste la constitutionnalité du décret N°2016-1460 qui a donné naissance au fichier TES. Par ailleurs, le groupe d’analystes juridiques Les Exégètes Amateurs (FDN, La Quadrature du Net..) compte également initier un recours devant la plus haute instance des administrations administratives. « Ce que décrit le ministre [de l’Intérieur], soit une base [de données] maître et une base [de données] esclave, est cohérent et fait sens techniquement, assure un expert en bases de données qui, selon Silicon.fr, a requis l’anonymat. Mais il suffit de 10 à 15 minutes à un administrateur de base de données pour créer un lien dans l’autre sens. » Pour sa part, le Conseil national du numérique CNNum) a aussi fait monter la pression en demandant la suspension du décret pour ériger le fichier TES en vertu des risques d’atteintes aux données personnelles des Français. Axelle Lemaire, secrétaire d’État à l’Économie numérique et de l’Innovation, s’était même opposée à Bernard Cazeneuve, ministre de l’Intérieur, à ce propos.

Les citoyens pourraient refuser de verser leurs empreintes digitales dans TES
Pourtant, jeudi 10 novembre, un apaisement relatif s’est manifesté lors d’une conférence de presse commune entre Bernard Cazeneuve et Axelle Lemaire. Côté compromis, il fut alors entendu que le recueil et le versement des empreintes digitales du demandeur du titre seraient soumis à son « consentement express et éclairé » dans le cadre d’une demande ou d’un renouvellement de carte nationale d’identité. En d’autres termes, cela signifie que les citoyens pourront refuser de voir leurs empreintes digitales versées dans la base de données TES. Au-delà du volet juridique, le ministère de l’Intérieur cherche à obtenir un maximum de cautions en termes de sécurité. Un audit pour homologation de l’architecture du dispositif TES sera réalisé par l’Anssi avec l’appui de la Dinsic. Le Parlement pourrait également disposer d’un droit de suivi du traitement exploité au sein du fichier TES. Un pilote du nouveau dispositif devrait être expérimenté dans les Yvelines puis en Bretagne, précise le communiqué signé en commun.

Ne pas porter plus gravement atteinte aux libertés individuelles
Après avoir entendu Bernard Cazeneuve, Mounir Mahjoubi, président du CNNum et Isabelle Falque-Pierrotin, présidente de la Commission nationale de l’informatique et des libertés (Cnil), la commission des lois du Sénat a souhaité recueillir l’expertise de Guillaume Poupard, directeur général de l’Agence nationale de la sécurité des systèmes d’information (Anssi), et d’Henri Verdier, directeur interministériel du numérique et du système d’information et de communication de l’État (Dinsic) lors d’une audition commune organisée hier, mardi 29 novembre 2016. Notant que, en dépit des assurances données par le ministre de l’Intérieur, des incertitudes demeuraient sur les risques de détournement de ses finalités et de piratage du fichier. Philippe Bas a demandé, le 16 novembre, la suspension de la mise en œuvre du décret du 28 octobre 2016 dans l’attente des résultats des consultations en cours. « Oui à la lutte contre la fraude, oui à la protection de nos concitoyens contre les usurpations d’identité, mais à condition que les modalités de cette lutte ne portent pas atteinte plus gravement encore aux libertés et à condition aussi que ce fichier soit efficace », a rappelé Philippe Bas.

Un rapport prévu pour janvier 2017
Lors de leur audition commune, Guillaume Poupard et Henri Verdier ont confirmé le mandat qui leur a été confié par le ministre de l’Intérieur pour homologuer le dispositif technique du fichier TES. Ils ont précisé la méthodologie retenue et annoncé la remise de leur rapport pour le mois de janvier 2017. Le président Philippe Bas et les membres de la commission des lois se sont inquiétés des risques liés à la mutabilité des traitements de données qui pourraient permettre leur utilisation pour d’autres finalités que celle de la sécurisation de l’identité des personnes. Ils ont également exprimé leur préoccupation face aux risques d’attaques contre ce fichier et contre le fichier actuel des passeports.

Un fichier qui peut attiser les convoitises
Selon le directeur général de l’Anssi, il n’y a pas de garantie de sécurité absolue mais il faut inscrire la protection des fichiers dans une démarche de sécurité dynamique pour faire face à une évolution permanente des techniques d’attaque car il est certain qu’un tel fichier va attiser les convoitises. Il faut également, à ses yeux, prendre en compte les risques pour l’État et pour les citoyens de destruction ou de sabotage du fichier dans une tentative de déstabilisation. Il a alerté la commission sur les problèmes de capacité de certains ministères faiblement dotés à maîtriser leur propre informatique. Ce qui aggrave davantage cette vulnérabilité. La commission des lois poursuivra son travail pour pouvoir apprécier les conditions de sécurité maximale à mettre en œuvre dans le cadre de ce type de traitement de données.

Erick Haehnsen

Commentez

Participez à la discussion