Deuxième objection : même si le droit était respecté, nous dit-on encore, il serait possible de modifier l’application informatique sans que personne n’en voie rien pour utiliser les données biométriques à des fins d’identification d’une personne. Ce sujet mérite d’être discuté ; il fait d’ailleurs l’objet de débats entre experts.
Aussi, pour avoir une position claire et nette sur ce sujet, j’ai demandé à l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, dont c’est le rôle, et à la Direction interministérielle du numérique et du système d’information et de communication de l’État, la DINSIC, de bien vouloir se prononcer sur les dispositifs techniques à mettre en œuvre pour empêcher la réversibilité.
Je leur ai également demandé d’indiquer si le dispositif informatique tel que nous l’avons conçu permet la réversibilité et, si oui, de préciser les modifications informatiques à mettre en œuvre pour créer les conditions de la non-réversibilité.
Je l’ai dit, leur rapport sera rendu public. De plus, alors que nous n’y sommes pas obligés, nous nous conformerons à toutes les recommandations qui nous seront adressées, de manière à être absolument irréprochables quant aux garanties à donner aux Français – garanties dont nous comprenons la nécessité – en vue de dissiper les inquiétudes qui se sont exprimées.
Mais voilà que ceux-là mêmes qui regrettaient que l’ANSSI et la DINSIC n’aient pas été sollicitées pour garantir la fiabilité technique du dispositif proposé considèrent maintenant, pour des raisons de positionnement, que, quels que soient les avis rendus, ils ne seront pas suffisants !
Nous demandons ces avis, nous les rendrons publics et nous nous y conformerons parce que nous sommes l’État et que, dans l’État, il y a des agences et des directions dont le rôle est de veiller à ces garanties. Sous prétexte que ces sujets sont traités par l’État et que ce dernier agit, on ne peut pas systématiquement jeter la suspicion et faire naître des inquiétudes : à force de raisonner de cette manière sur les sujets les plus sensibles, il n’y aura plus d’État ! Or il appartient à celui-ci d’attester, en prenant toutes les précautions et en donnant toutes les garanties nécessaires, et ce dans la plus grande transparence, qu’il est dans une démarche maîtrisée, dont il rend compte et dont le contrôle peut être assuré.
Par ailleurs, j’ai indiqué devant les commissions des lois de l'Assemblée nationale et du Sénat que, par-delà ces expertises, nous étions favorables à ce que le Parlement, la CNIL et l’ANSSI viennent chaque année au ministère de l’intérieur vérifier l’adéquation entre les applications que nous déployons et les conditions dans lesquelles elles sont mises en œuvre, de manière que personne ne puisse avoir de doute sur le respect absolu de tous les principes et de toutes les règles par l’administration chargée de la gestion de ce dispositif.
Troisième objection : la base, même si elle ne permet pas la réversibilité et qu’elle est conforme au droit, pourrait être attaquée. Je rappelle que cette base fait l’objet de dispositifs de chiffrement, qui sont protecteurs et n’ont pas permis jusqu’à présent à quiconque de l’attaquer. On m’objecte alors que d’autres pays ont été confrontés à cette intrusion. Fort bien, je comprends ce raisonnement : les interrogations formulées sont importantes et nous avons des comptes à rendre à la représentation nationale et aux hautes autorités.
C’est pourquoi, dans le cadre du processus d’homologation en cours, j’ai demandé à l’ANSSI d’examiner les pare-feu que nous avons mis en place et d’indiquer dans un rapport public si oui ou non les dispositifs de chiffrement, de cloisonnement sont suffisants. Si des modifications doivent être apportées, nous le ferons, et la représentation nationale en sera informée et pourra poursuivre le débat avec nous. Si nécessaire, je modifierai le dispositif en fonction des recommandations qui nous seront adressées.
Quatrième objection, pourquoi mettre en place une base centralisée, dans laquelle l’ensemble des éléments seront inclus, au lieu d’intégrer une puce dans la carte d’identité, ce qui permet à chacun d’avoir la garantie de la sécurisation de ses documents ? Nous ne l’avons pas fait pour une raison simple : en cas de perte de la carte à puce, sans fichier susceptible de vérifier l’identité, la personne devra reprendre toute la procédure depuis le début pour faire renouveler sa carte. La réforme de simplification que nous avons mise en œuvre perdrait alors une très grande partie de son intérêt et de son efficacité.
Or les Français demandent une procédure de renouvellement de leurs documents d’identité sécurisée, rapide, simplifiée et ne souhaitent pas avoir à refaire l’ensemble des démarches en cas de perte.
Comme nous sommes très désireux, parce que totalement sincères dans les intentions qui sont les nôtres et animés de la volonté de bien faire, de voir aboutir cette réforme, nous avons fait quelques concessions, des concessions destinées à créer le meilleur équilibre possible entre la sécurisation du process que nous devons aux Français et le respect des libertés individuelles, que nous n’avons songé à aucun moment à remettre en cause.
Quelles sont ces concessions ?
D’abord, on nous objecte que les personnes enregistrées dans cette base numérisée devraient être informées de son contenu, arguant du fait qu’il n’est pas possible d’y figurer contre son gré, au motif qu’elle pourrait être utilisée à d’autres fins. J’ai déjà apporté les garanties concernant l’impossibilité d’utiliser ce fichier à d’autres fins, mais j’ai souhaité répondre à cette interrogation, que je comprends, en ne transférant à cette base numérisée que les empreintes collectées à compter du moment où la personne souhaite bénéficier du service. Si elle ne souhaite pas figurer dans la base pour des raisons qui tiennent aux préventions qu’elle peut avoir à l’encontre de celle-ci, en dépit de toutes les garanties que nous avons données, alors acceptons-en le principe. C’est une proposition que nous avons faite, et nous la mettrons en œuvre.
Cette proposition remet-elle en cause la conservation sous forme papier des empreintes digitales, comme cela se pratique depuis 1987 ? Non. Depuis cette date, on prend les empreintes. Si, demain, dans le cadre d’une affaire terroriste ou autre, nous devions répondre à une réquisition judiciaire diligentée par un juge judiciaire, dont vous avez été nombreux à considérer qu’il est toujours le juge protecteur des libertés, en lui fournissant l’accès, à partir d’une identité, aux données biométriques, afin de vérifier si la personne à l’origine d’un crime ou d’un acte terroriste est bien celle qui apparaît sur les papiers d’identité, nous serions totalement désarmés, alors que notre pays est actuellement confronté à un niveau de menaces extrêmement élevé.
La procédure ira évidemment moins vite que dans l’hypothèse où nous aurions disposé d’une base de données numérisée. Cependant, la conservation des empreintes sous forme papier, selon des modalités contribuant à renforcer considérablement la traçabilité de l’accès à ces données – dimension qui n’existait pas pour le fichier centralisé de 1987, ce qui prouve que notre dispositif est nettement plus protecteur des libertés –, permet de garantir l’identification d’une personne et de veiller à ce que la personne qui a fait l’objet d’une demande d’identification est bien celle qui a été identifiée, d’une part, et d’assurer une identification aussi sécurisée que précédemment, mais avec un meilleur équilibre entre le principe de liberté et le principe de sécurité, d’autre part.
Je sais que certains considèrent que la possibilité d’une collecte et d’une transmission facultatives des données personnelles à la base signifie la non-conservation des empreintes biométriques des Français dans le dossier au format papier. Seulement, cela reviendrait à remettre en cause tout ce qui existe depuis maintenant près de trente ans et à désarmer le pays face aux menaces auxquelles il est confronté. Je le dis très clairement : cela n’aurait pas été responsable de notre part !
Nous n’avons pas fait ce choix, car il convient de trouver le meilleur équilibre possible entre liberté et sécurité. J’assume totalement cette position devant la représentation nationale, parce que je pense qu’elle correspond à ce à quoi nos compatriotes aspirent profondément, compte tenu du niveau de menace auquel nous faisons face.
Enfin, j’ai indiqué que l'ANSSI et la DINSIC mèneront des expertises sur la mise en place du fichier et que je les rendrai publiques.
Je conclurai sur un dernier point. On nous reproche le caractère tardif de ce débat, mais la vérité oblige à dire qu’un gouvernement qui, agissant avec la volonté de moderniser un service public, utilise une base existante tout en renforçant les conditions de traçabilité et en simplifiant l’accès aux informations d’une base obsolète raccordée à la base existante est tout de même très loin en termes de perversité d’un gouvernement qui profiterait de la Toussaint pour signer en catimini un décret remettant en cause les libertés publiques !
Je rappelle d’ailleurs à ceux qui ne seraient pas tout à fait conscients des règles de droit que c’est au Conseil d’État de déterminer la liste des ministres qui signent les décrets après avoir examiné leurs décrets d’attribution, et que c’est au Conseil d’État de transférer lesdits décrets au Secrétariat général du Gouvernement après qu’ils ont été validés. En outre, il s’écoule trois semaines entre le moment où le Conseil d’État rend son avis et le moment où les décrets sont signés. Or le Conseil d’État a rendu sa position le 29 septembre dernier : il était donc assez logique que le décret soit signé à la fin du mois d’octobre !
Vous comprendrez, mesdames, messieurs les sénateurs, qu’il m’est extrêmement pénible de voir l’État systématiquement mis en cause et d’entendre certains alimenter la suspicion sur son action, alors qu’il s’emploie à moderniser un service public au profit des citoyens français, par souci de mieux protéger les libertés publiques et de mener les réformes de simplification que ceux-ci appellent de leurs vœux.
Je tenais à évoquer ce point au moment où nous engageons la discussion ensemble. Il ne s’agit d’ailleurs pas d’un débat pour solde de tout compte : il en appelle d’autres. Si M. le président du Sénat ou M. le président de la commission des lois souhaitaient procéder à d’autres auditions au terme des expertises que je rendrai publiques, ils savent que je suis toujours à la disposition du Sénat.
J’ai d’ores et déjà indiqué que le Gouvernement pourrait modifier le texte du décret en fonction des conclusions auxquelles nous conduira l’ensemble de ces débats et de ces expertises. Le Gouvernement ne fait donc preuve d’aucune psychorigidité ; il manifeste simplement la volonté de bien faire dans le cadre de son ambition de modernisation du service public. Je sais pouvoir compter sur le Sénat, que je veux remercier encore une fois pour la qualité des débats que nous avons eus jusqu’à présent.