Au cours d'une deuxième réunion tenue dans la matinée, la commission entend M. Bruno Le Roux, ministre de l'intérieur, sur la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité (fichier TES).
Nous avons le plaisir d'accueillir M. Bruno Le Roux, ministre de l'intérieur, avec lequel nous avons l'habitude de travailler depuis plusieurs semaines. Ce sujet des titres d'identité était l'objet, il y a près de dix ans, d'un rapport de M. Jean-René Lecerf, qui témoignait de l'intérêt du Sénat pour la protection des Français contre les usurpations d'identité. Une première tentative de légiférer en 2012 s'est soldée par un désaccord entre le Gouvernement et le Sénat de l'époque, puis une censure du Conseil constitutionnel.
Une dizaine de jours avant la sortie du décret créant le fichier automatisé des cartes nationales d'identité (CNI), j'ai écrit à votre prédécesseur pour lui faire part de nos préoccupations. Lorsque le décret a été signé, et après de nombreuses auditions, nous avons demandé la suspension de la mise en oeuvre de ce fichier. Le ministre s'est alors engagé à ne la rendre effective qu'après la prise en compte des recommandations d'une mission d'audit confiée à l'Agence nationale de la sécurité des systèmes d'information (Anssi) et de la Direction interministérielle du numérique et du système d'information et de communication de l'État (Dinsic). Le jour même de la réception de ces recommandations, vous les avez portées en mains propres aux présidents des commissions des lois des deux assemblées. Quelles ont été les mesures prises par le Gouvernement pour les mettre en oeuvre ?
Merci de votre invitation sur le rapport d'audit de sécurité réalisé par l'Anssi et la Dinsic sur le fichier des titres électroniques sécurisés (TES).
Comme le pensait mon prédécesseur, il est très important que sur un tel sujet d'intérêt général, nous puissions échanger en toute transparence. En novembre dernier, vous aviez eu avec Bernard Cazeneuve des échanges particulièrement riches et constructifs, notamment sur les conditions de sécurité du système TES. Il avait alors pris deux engagements importants.
Tout d'abord, les textes devaient évoluer pour que les citoyens le demandant puissent s'opposer au versement de leur empreintes digitales - dont le recueil reste obligatoire, j'y insiste - dans la base de données centralisée TES. Cela ne vaut que pour les cartes nationales d'identité : le versement des empreintes digitales pour les passeports est obligatoire en vertu de la législation européenne. Je rappelle que notre intention initiale était d'apporter une garantie de protection et de traçabilité pour la conservation des empreintes digitales numérisées pour les cartes nationales d'identité équivalente à celle qui est offerte par le système TES pour les passeports, soit un progrès notable par rapport au mode de conservation actuel des documents sous forme papier. Sur ce premier engagement, le travail est presque achevé. Un projet de décret en Conseil d'État a été élaboré et transmis en décembre à la Commission nationale de l'informatique et des libertés (Cnil) pour examen.
Second engagement : la réalisation d'un audit du dispositif par les experts reconnus de l'Anssi et de la Dinsic a été définie par une lettre de mission, claire, du 17 novembre, afin de concentrer l'expertise, d'une part, sur la protection de l'application TES contre les risques d'intrusion ou de piratage, et, d'autre part, sur le renforcement du lien unidirectionnel permettant de passer des données alphanumériques aux données biométriques - et non l'inverse. Nous nous étions engagés à rendre public le rapport, de même qu'à tenir compte de ses conclusions avant toute généralisation du recours à TES pour délivrer les cartes nationales d'identité. L'homologation du système constituait, à cet égard, une condition sine qua non. L'Anssi et la Dinsic m'ont remis un rapport précis et fort éclairant le 13 janvier dernier. Conformément à nos engagements, je l'ai moi-même rendu public dès le 17 janvier, après en avoir retenu les décisions qui s'imposaient. Le Gouvernement a donc tenu ses engagements.
Les onze recommandations du rapport de l'Anssi et de la Dinsic seront pleinement mises en oeuvre, dans la mesure où elles s'inscrivent dans la continuité des mesures de sécurisation renforcée du dispositif déjà prises par le ministère de l'intérieur, pour améliorer la sécurité anti-intrusion de l'application et renforcer la protection du lien unidirectionnel. C'est pourquoi nous allons les mettre en oeuvre sans délai.
Le rapport souligne deux éléments importants parfaitement complémentaires : d'une part, il établit explicitement que le système TES est « compatible avec la sensibilité des données qu'il contient », dans son architecture comme dans ses conditions d'usage ; d'autre part, il conclut que la sécurité du système TES est perfectible. C'est vrai, et nous allons la perfectionner.
Même après avoir perfectionné et renforcé la sécurité de TES, dans les prochaines semaines, puis en continu, le risque zéro n'existe pas dans ce domaine. Pour autant, faut-il renoncer à agir et risquer de paralyser l'action publique ? Je ne le crois pas. Comme le disait le directeur général de l'Anssi, M. Guillaume Poupard, le 18 janvier devant la commission des lois de l'Assemblée nationale, il nous faut « renoncer au concept de sécurité absolue », et nous adapter aux menaces selon une démarche de sécurité dynamique et continue. Voilà tout l'enjeu de la procédure d'homologation : analyser les risques, déterminer les actions engagées pour les réduire et définir les risques résiduels acceptables. La sécurité de TES était une préoccupation du ministère de l'intérieur bien avant novembre dernier, dans une démarche d'évolution progressive des versions de l'application, laquelle date de 2008. Ainsi, un test d'intrusion avait été programmé par l'Agence nationale des titres sécurisés bien avant les débats qui nous occupent, et a été mis en oeuvre en novembre 2016. Le débat engagé à l'automne dernier a accéléré cette démarche de sécurisation permanente. C'est pourquoi j'ai conditionné la généralisation du recours à TES pour les cartes nationales d'identité à la réévaluation du processus d'homologation.
Toutes les mesures utiles pour réduire ces risques ont été mises en oeuvre ou sont en train de l'être, sur la base des échanges permanents entre les services du ministère et les auditeurs de l'Anssi et de la Dinsic. Désormais, 94 % des mesures du plan d'action sont achevées. Les 6 % restants correspondent à une mesure qui sera mise en oeuvre dès le 28 février prochain.
Deux sujets sont susceptibles d'inquiéter nos concitoyens : le risque d'intrusion et le risque de détournement de notre système. Le fichier TES contient, outre des pièces justificatives produites pour l'obtention du titre, des données alphanumériques - nom, prénom, adresse, taille, couleur des yeux, sexe, date et lieu de naissance - et des images numérisées - photographie d'identité, signature, deux empreintes digitales. Le risque d'intrusion correspond concrètement au piratage du système TES, et à l'utilisation de ses données par un tiers mal intentionné. Le plan d'action en cours de mise en oeuvre, nourri de l'expérience du test d'intrusion que je viens d'évoquer, a pour objectif de réduire au maximum ce risque. Dans le cadre du processus continu d'amélioration de la sécurité de TES, je souhaite reproduire ce type de démarches. Comme dans la lutte contre la délinquance, nous devons tenir compte de l'évolution des moyens qui nous sont opposés pour nous nuire, et adapter et moderniser constamment nos propres moyens de sécurité, afin d'être dans la réactivité et l'anticipation permanentes.
Élément fondamental de protection contre l'intrusion, TES est maintenu à distance des réseaux internet ouverts au public et a été élaboré dans une logique de cloisonnement des informations et des opérations, ce qui réduit considérablement les risques.
L'autre risque est le « détournement » de TES à des fins d'identification et non d'authentification. Conformément à la jurisprudence du Conseil constitutionnel, le Gouvernement n'a jamais souhaité mettre en place un système d'identification systématique, qui reposerait sur la recension exhaustive des données personnelles utiles à la délivrance de titres d'identité. TES permet exclusivement d'authentifier l'identité des personnes à partir de leur nom, et en aucun cas de les identifier à partir de leurs seules données biométriques. Authentifier l'identité revient à s'assurer que la personne qui sollicite la délivrance ou le renouvellement d'un titre est bien la personne connue sous cette identité, et ce par comparaison des données enregistrées sous cette même identité. C'est ainsi que l'on préserve les usagers du risque d'usurpation d'identité.
Le rapport fait donc le point sur le risque de « détournement » de TES à des fins d'identification. Il confirme l'existence d'un lien unidirectionnel entre données alphanumériques et données biométriques. TES ne peut pas être exploité à des fins d'identification, c'est-à-dire en passant des données biométriques aux données alphanumériques. Cette asymétrie est-elle contournable ? Peut-elle être dévoyée ? Selon le rapport, ce n'est qu'en disposant de la clé de déchiffrement de ce lien et en reconstituant une autre base, fiche par fiche et en dehors de TES, que ce risque de dévoiement pourrait apparaître.
Toutes les recommandations ont été entendues et mises en oeuvre pour faire obstacle à d'éventuelles tentatives de ce genre. Le chiffrement de ce lien sera renforcé, l'analyse des risques approfondie, et les mécanismes de « défense en profondeur » contre un tel détournement seront consolidés, grâce au chiffrement des empreintes numérisées et à la mise en place de mécanismes de détection d'usages anormaux du lien unidirectionnel.
Depuis la mise en oeuvre de TES en 2008, aucun cas de dévoiement de son usage n'a été identifié. Les usages de TES par les agents de préfecture et ceux de l'Agence nationale des titres sécurisés sont pleinement conformes aux textes régissant ce traitement de données.
Cela doit-il nous surprendre ? Non : nous sommes dans un État de droit, avec des lois et des règles précises, respectées par les agents de l'État, et notamment ceux du ministère de l'intérieur. C'est cet État de droit que le rapport est venu nous rappeler. La place Beauvau n'est plus depuis longtemps l'antre de Fouché - elle ne l'a d'ailleurs jamais été, si l'on veut être conforme à la réalité historique... Les femmes et les hommes du ministère de l'intérieur sont avant tout des défenseurs de nos lois et de nos libertés publiques.
Les travaux de l'Anssi et de la Dinsic ont été très utiles pour faire évoluer TES vers des conditions de sécurité optimales, garantissant un niveau de protection des données personnelles élevé. Le débat qui a eu lieu au Parlement s'est avéré fort utile. Mais je ne m'en contenterai pas. Je souhaite que le ministère de l'intérieur s'inscrive dans un processus d'amélioration continue de TES, afin que le système bénéficie en permanence d'un niveau de sécurité adapté aux risques, avec une réévaluation à haute fréquence du dispositif, chaque année, tandis que les services interministériels compétents continueront à accompagner le ministère dans ces travaux indispensables.
TES n'est que l'outil de la réforme structurelle « Plan Préfectures Nouvelle génération » (PPNG), qui doit être généralisée dans les délais escomptés. À ma demande, juste après la remise du rapport, la commission d'homologation s'est réunie le 8 février pour se prononcer sur l'analyse des risques et la conformité des mesures de maîtrise de ces risques. Au vu de la stratégie de sécurisation et du plan d'action mis en oeuvre, j'ai ainsi homologué TES au titre de la sécurité des systèmes d'information. La généralisation de cette réforme et l'utilisation de TES pour la délivrance des CNI interviendront du 20 février au 27 mars prochains, dans les conditions prévues par arrêté ministériel. L'homologation ne marque pas la fin d'un processus de sécurisation dynamique, mais elle ouvre la voie à la mise en oeuvre de la réforme. Plusieurs sénateurs se sont rapprochés de mon cabinet ou de celui du Premier ministre pour prendre connaissance des conditions du déploiement. J'ai moi-même transmis, le 10 février, aux présidents du Sénat et de l'Assemblée nationale, l'instruction adressée le 30 janvier dernier aux préfets sur la mise en oeuvre opérationnelle.
Comme c'est déjà le cas depuis le début de l'hiver dans les départements pilotes des Yvelines et de la région Bretagne, nous allons pouvoir dématérialiser, sous forme numérique, les échanges entre les mairies qui accueillent le public et les 27 plateformes préfectorales où l'on instruit les demandes de CNI et de passeports, les centres d'expertise et de ressources titres (CERT). Le rapport confirme sur le plan technique les apports positifs de TES au service des trois grands objectifs de la réforme de la délivrance des CNI portée par le ministère de l'intérieur dans le cadre du PPNG.
Tout d'abord, cette évolution soutiendra la réforme du service public, dans les communes comme dans les préfectures, en nous faisant gagner en efficacité. La réforme des titres nous permettra de réinvestir un millier d'emplois dans les territoires, sur des missions à forte valeur ajoutée telles que la prévention et la gestion des crises, le conseil juridique et le contrôle de légalité, la lutte contre la fraude ou encore la coordination de l'action de l'État et le développement territorial.
Ensuite, cette réforme apportera un réel bénéfice pour simplifier les démarches des usagers. Avec les télé-procédures qui accompagnent l'évolution du traitement des CNI vers TES, de nouveaux services pourront être offerts à nos concitoyens : pré-demande en ligne, renouvellement simplifié de la CNI... Cette simplification s'accompagnera également d'un raccourcissement des délais de délivrance du titre, grâce à la suppression des échanges papiers entre les mairies, les préfectures et les services de production des titres. Enfin, cette réforme renforcera la sécurité des titres délivrés et réduira les risques de fraude et d'usurpation d'identité. En s'appuyant sur une base centrale d'empreintes numérisées, TES rapproche automatiquement les éléments produits, y compris biométriques, lors d'une demande de titre concernant une même identité, ce qui limite le risque d'usurpation d'identité. TES limite les risques de fraude dès lors qu'il permet d'interagir avec des données authentifiées et sécurisées d'état civil.
Bernard Cazeneuve et moi-même avons, depuis plusieurs mois, fait preuve d'une véritable transparence et voulu contribuer de manière constructive au débat public sur le sujet. Aujourd'hui, j'ai surtout évoqué des questions de sécurité des systèmes d'information ; il existera toujours des risques, à nous de les rendre sinon résiduels, du moins acceptables.
J'espère que nous retirerons de TES tous les bénéfices que nous en attendons, ceux qui résultent du PPNG. Les deux sites pilotes dans les Yvelines et en région Bretagne ont un bilan extrêmement satisfaisant. Je remercie le secrétaire général du ministère de l'intérieur, M. Denis Robin, pour ce travail très important. Je souhaite aller au bout de ce sujet, en poussant l'expertise non seulement sur les recommandations du rapport, mais également sur les orientations de long terme qu'il contient. Deux orientations sont significatives : d'une part, le passage d'empreintes digitales brutes à des gabarits, et d'autre part, si les gabarits sont retenus - ce qui offre une probabilité de résultat et non un résultat certain - de pouvoir conserver l'intégralité des empreintes digitales dans un fichier distinct de TES. Je suis très intéressé aux résultats de la première expertise menée et très attentif à l'impact sur notre action en matière de lutte contre la fraude et, surtout, à ses conséquences pour l'autorité judiciaire, première utilisatrice des empreintes digitales, notamment pour lutter contre le terrorisme. Je suis plus réservé sur la seconde orientation car ce fichier serait assimilable à un fichier de police, et je connais la sensibilité des débats auxquels elle nous conduirait.
Même si cela ne fait pas partie de la lettre de mission sur le fichier TES, nous ne pourrons pas nous épargner un débat au Parlement sur l'identité numérique - nous en avons convenu avec MM. Verdier et Poupard - notamment lorsqu'on observe certaines utilisations des smartphones ou d'outils numériques. Au-delà d'une réflexion opérationnelle du prochain Gouvernement, les assemblées devront mener une réflexion de fond sur la protection des données personnelles et des libertés publiques. Vous aurez du travail dans les prochains mois...
Merci de votre présentation des conclusions de ce rapport avec beaucoup d'honnêteté intellectuelle et de réalisme. Vous n'avez pas méconnu les risques que tout fichier de ce type encourt - risque d'intrusion extérieure, de mutation technologique, d'utilisation à d'autres fins...
Vous avez déjà répondu à certaines questions, notamment sur la substitution du gabarit aux données biométriques brutes, mais pouvez-vous nous en dire plus sur le chiffrement des données biométriques et la double clé ? Comptez-vous mettre en oeuvre un système où une autorité tierce pourrait, aux côtés du ministre de l'intérieur, comme dans le cas d'un coffre de banque, activer une deuxième clé sans laquelle le dispositif ne serait pas accessible ?
Votre présentation est empreinte d'un certain scepticisme car la situation évolue, même sur le lien unidirectionnel. En témoigne l'utilisation de certaines applications sur les smartphones. Même si on ne veut pas de lien bidirectionnel, le traitement en big data de photos permet d'y parvenir. Soyons vigilants. Le traitement des réquisitions judiciaires et leur traçabilité seront une avancée significative par rapport au fichier actuel. Sans traçabilité ni surveillance, on peut reconstruire la bidirectionnalité.
Quelle est la manière dont cela fonctionne ? Peut-on confronter les données de la puce d'un passeport aux données de la base lors d'un contrôle ? Les réponses diffèrent selon mes interlocuteurs... S'il n'y a pas de confrontation possible, l'intérêt du fichier est limité, d'autant que les puces sont fragiles.
Pourrons-nous demander une carte d'identité à n'importe quel endroit, comme désormais un passeport ? Pourrons-nous aller plus loin et précommander, voire commander un titre d'identité en ligne si toutes les données du fichier TES sont dans la base, titre qui serait ensuite activé après vérification des empreintes digitales dans une borne, pour éviter l'attente au guichet ?
Une rubrique relative à l'autorisation de sortie du territoire des mineurs sera-t-elle ajoutée au fichier TES, afin d'avoir une information complète sur les titres d'identité ?
Merci de cette présentation très intéressante. Vous avez pertinemment différencié le risque de pénétration et le risque de réversibilité ou de détournement, pour un débat pédagogique. J'ai bien compris qu'il n'y avait pas de solution technique pour assurer un lien unidirectionnel intangible. J'ai lu le rapport. À partir de quel moment des risques résiduels sont-ils acceptables ou non ? Vos explications ont été largement rassurantes sur votre démarche et son contenu, mais pas totalement. Avez-vous envisagé de nouveau la possibilité d'assurer la protection de l'identité par des cartes à puce ? Avez-vous sinon des arguments autres que financiers pour l'écarter ? Quelles mesures doivent être prises pour rendre le risque le plus résiduel possible et alerter sur la tentative de réversibilité du fichier avant qu'elle ne soit effective ? Je me félicite que notre commission se soit saisie de ce sujet extrêmement sensible et que le débat que votre prédécesseur et vous-même avez permis soit désormais un peu plus éclairé.
Je serai plus pragmatique que M. Pillet. Désormais, la délivrance des cartes d'identité sera assurée par les communes qui délivraient les passeports, auxquelles s'ajoutent de nouvelles communes qui entreront dans le dispositif. Je vous remercie d'avoir renforcé la dotation, notamment pour ces nouvelles communes. Mais de très nombreuses communes ne délivrent pas de CNI... Pouvez-vous nous en dire davantage sur l'expérimentation dans les Yvelines et en Bretagne, et notamment sur le service d'aide à la demande de titres ? Comment cela fonctionne-t-il, et quelles sont les relations avec les communes ?
L'Association des maires de France (AMF) m'a informée d'un dispositif de recueil mobile. Combien de dispositifs sont prévus ? Des communes peuvent-elles se porter volontaires ? Ainsi, dans certains secteurs ruraux très éloignés de la mairie qui délivre les titres, le chef-lieu de canton pourrait les accueillir. La CNI, une fois établie, ne pourrait-elle pas être distribuée par l'ensemble des mairies ? Si certains dossiers importants passent parfois inaperçus, celui-ci est mal vécu par l'ensemble des communes, et coupe la relation entre les administrés et les petites communes. Comment faciliter la proximité et le passage entre les deux systèmes ?
Sur un sujet de gestion publique touchant aux droits des individus, il faut choisir entre les risques irréductibles d'un système offrant beaucoup plus d'efficacité, et le risque de ne rien faire en conservant le système actuel qui comporte de très nombreuses vulnérabilités pesant très lourdement - non pas dans le cadre d'opérations terroristes mais de délinquance ordinaire - sur de très nombreuses personnes dont on usurpe l'identité. Parlons vrai : si nous refusons ce nouveau fichier, nous devons dire que nous assumons les risques réels du système actuel. Je suis plutôt favorable à la réforme.
Les pièces justificatives sont déjà cryptées, les empreintes digitales le seront également, conformément à la demande de l'Anssi. Le ministère de l'intérieur est plutôt réservé sur le fait de confier la clé de chiffrement à une autorité tierce, car cela dissoudrait les responsabilités en matière de sécurité. Je ne suis pas fermé sur cette question, mais on pourrait attendre quelques semaines : ceux qui arriveront au pouvoir auront le temps et la nécessité d'y réfléchir. Personnellement, je ne suis pas sûr que cela pose de réels problèmes d'avoir cette sécurité supplémentaire. Ma priorité, c'est la sécurisation du dispositif et des procédures. La gouvernance du système pourra revenir au futur gouvernement.
On ne peut faire correspondre les empreintes dans les puces des passeports et celles dans les bases lors de contrôles de police. Le seul contact possible avec la base est lors du renouvellement d'un titre au guichet, lorsque que la correspondance entre les empreintes du demandeur et celles de la puce n'a pas fonctionné.
L'introduction d'une puce sur la CNI soulève un débat de fond sur l'identité numérique car elle introduit d'autres risques : comment assurer la traçabilité des usages ? Si elle devait s'accompagner de la suppression de la base centrale, n'y aurait-il pas un risque d'affaiblissement de la lutte contre l'usurpation d'identité ? En plus d'un coût de plus d'une centaine de millions d'euros...
Comme pour les passeports, il n'y aura plus de condition de résidence dans un département pour demander sa carte d'identité, ce qui simplifiera les démarches.
Nous refusons la demande de CNI en ligne tant que les technologies n'auront pas suffisamment progressé ; la présence physique du demandeur reste indispensable.
Les maires ont été associés au pilotage de la réforme par le biais de l'AMF - j'ai même reçu son président en début de semaine. Le comité de suivi a tenu sa dernière réunion hier, et s'est appuyé sur l'expérience dans les Yvelines et en Bretagne. Le débat local est nourri par une certaine appréhension sur les effets de la réforme, sur les territoires ne connaissant pas la réforme. Partons des sites pilotes. De l'avis général, le dispositif technique fonctionne correctement. Le dialogue entre le préfet et l'association départementale des maires a permis de caler des organisations efficaces sur ces deux territoires, de réduire les délais de traitement, et l'ergonomie du système a facilité la tâche des mairies.
Deux points ont toutefois retenu notre attention. Certaines mairies peuvent recueillir les données, d'autres recueillir et délivrer les titres. Pour établir des pré-demandes en ligne, un dispositif de recueil mobile est prévu avec une centaine de bornes, une par département, nombre qui pourra être augmenté si besoin - il sera évalué en 2017. Actuellement, seulement 15 % à 20 % des pré-demandes se font en ligne ; nous allons encore simplifier le dispositif. Les mairies devront revoir l'organisation des rendez-vous pour en accélérer la fréquence - il faut parfois cinq semaines pour obtenir un rendez-vous sur certains sites. Les services préfectoraux accompagneront les mairies pour trouver les bonnes solutions. Les communes ne recueillant pas ces demandes peuvent créer des points numériques pour aider l'usager à remplir une pré-demande en ligne. La dotation d'équipement des territoires ruraux (DETR) peut être utilisée à cette fin.
La remise d'une carte d'identité doit se faire dans la commune où est faite la demande initiale afin de vérifier les empreintes digitales. Dans les prochaines années, nous devrons travailler à plus de simplification grâce à de nouvelles technologies, mais aujourd'hui, en raison des risques de fraude, nous ne pouvons pas faire autrement.
M. Cazeneuve avait envisagé que certains services locaux, comme La Poste, puissent délivrer des titres dans des territoires ruraux. Si les difficultés techniques restaient surmontables, le coût aurait été prohibitif. Nous devons continuer à travailler sur ce sujet.
A partir de quelle date la mairie de ma petite commune, qui délivre déjà des passeports, devra-t-elle délivrer des cartes d'identité ?
Monsieur le ministre, merci de votre venue.
La réunion est close à 12 h 40.