Monsieur le président, monsieur le ministre, mes chers collègues, si vous en êtes d’accord, repartons dans ce débat d’un impératif premier de service public.
L’État doit disposer d’un outil permettant à l’administration de délivrer des cartes d’identité et des passeports aux citoyens dans des conditions de sûreté et d’efficacité maximales.
Le besoin, pour les citoyens, de disposer de ces titres sans interruption et sans risque est amplifié, nous le voyons tous les jours, par les conditions de vie offertes par la société actuelle. La forte mobilité des personnes, la multiplicité des transactions et des démarches imposant une authentification personnelle, les questions, aggravées ces derniers temps, de sécurité dans les lieux publics font de la détention d’un document d’identité sans risque de perte ou de vol une nécessité première pour la vie démocratique et pour la vie quotidienne des citoyens.
Or les menaces sur ce support premier de nos libertés individuelles se sont amplifiées, avec le vol et la réutilisation de cartes d’identité – donc l’usurpation d’identité – et le développement de la circulation des faux documents. Puisqu’un débat un peu confus s’est établi sur ce sujet, monsieur le ministre, je vous serais reconnaissant de revenir, dans votre réponse finale, sur le nombre de ces infractions, leur évolution en tendance et les risques qu’elles représentent.
S’agissant, en particulier, des usurpations d’identité, nous avons tous reçu des témoignages, souvent déchirants, des multiples préjudices que celles-ci entraînent pour les victimes, avec, évidemment, des effets aggravés lorsque ces victimes sont des personnes vulnérables, peu préparées aux procédures administratives, démunies devant la complexité de la justice pénale.
Je crois donc que la nécessité de constituer un mécanisme performant pour garantir aux Français la délivrance rapide, en toutes circonstances – notamment défavorables –, d’un titre rigoureusement sécurisé ne suscite pas le moindre doute.
Je tiens d’ailleurs à exprimer ma gratitude à l’égard du Conseil national du numérique et de la Commission nationale de l'informatique et des libertés pour avoir clairement indiqué qu’ils partageaient pleinement cet objectif de service public prioritaire.
Le débat, notamment avec les représentants de la société civile, porte, non pas sur la nécessité de disposer d’un outil de création, délivrance et sécurisation des titres – c’est un rôle primordial de l’État dans une société mobile –, mais, à la rigueur, sur certains points de méthode pour atteindre un tel objectif.
Il est une première question appelant encore des précisions de la part du Gouvernement, après les échanges qui ont déjà eu lieu : quel est le droit applicable, après le décret du 28 octobre, s’agissant de l’accès aux données personnelles, y compris à la composante biométrique du fichier ?
En toute logique, les premiers à avoir accès aux données d’identification sont les opérateurs du système.
Ces derniers sont strictement énumérés dans le décret, mais qu’en est-il des circonstances dans lesquelles ils peuvent saisir le fichier ? Je comprends, pour ma part, qu’il faut une demande de l’intéressé, dans le cadre d’un renouvellement du document d’identité ou d’une plainte pour perte ou subtilisation de la pièce d’identité.
Je suppose qu’il existe un deuxième angle d’accès au fichier, par le biais de la justice pénale.
Lorsqu’une enquête pénale, bien entendu encadrée par toutes les protections de la procédure pénale, justifiera que l’on accède à ces données, sur réquisition d’un juge, cet accès sera, me semble-t-il, possible. Mais se limitera-t-il aux données alphanumériques du fichier ou concernera-t-il aussi les données biométriques ?
Cet accès au fichier m’apparaît comme une clé pour le respect de l’État de droit, lequel exige aussi que la justice puisse mener son action, y compris en ayant recours au fichier.
Je vous serai reconnaissant, monsieur le ministre, de nous fournir quelques précisions sur le sujet.
La deuxième question, centrale, porte sur la sécurité d’un fichier promis à une longue durée d’existence – vous nous avez rappelé, monsieur le ministre, que le précédent remontait à vingt-neuf ans – et soumis à une utilisation intensive. Avec 60 millions de titulaires de titres d’identité, j’imagine en effet que les demandes de renouvellement de carte se comptent par centaines de milliers chaque mois.
Le débat et l’expérience nous enseignent que les cyberattaques et les opérations de hacking peuvent présenter des aspects inattendus ou imprévus.
Dans son intervention d’hier, le président du Conseil national du numérique nous a apporté deux informations essentielles : d’une part, au vu des sécurités déjà acquises dans le fichier tel qu’on l’analyse aujourd'hui, la potentialité d’une attaque réussie paraît extrêmement faible – le fait qu’il ne s’en est pas produit depuis huit ans sur le fichier existant des passeports en est la meilleure démonstration – ; d’autre part, et c’est une observation qui fait réfléchir, si une telle attaque réussissait un jour, le dommage serait évidemment massif.
Par conséquent, est-il envisageable, maintenant ou lors d’une révision, de faire encore évoluer l’architecture de ce fichier, de manière à empêcher qu’une attaque qui finirait par aboutir ne donne accès, d’un seul coup, à l’ensemble des données ?
Cette centralisation que l’on pourrait qualifier de « partagée » ou « cloisonnée » – j’improvise, n’étant pas expert – serait mise en œuvre, en préservant, naturellement, la fonctionnalité première du fichier, c'est-à-dire l’efficacité et la quasi-immédiateté de la délivrance des titres, notamment pour les personnes mises en difficulté par la perte du leur.
La dernière question concerne l’évolution ultérieure du fichier, puisque, comme je l’indiquais, celui-ci s’inscrit dans la durée. En particulier, comment vérifiera-t-on, dans le temps, le maintien de son inviolabilité ?
À l’occasion de votre passage en commission hier, monsieur le ministre, vous avez évoqué le projet – que vous venez à nouveau de mentionner – de faire réaliser un contrôle périodique des fonctionnalités du fichier et de ses éventuelles vulnérabilités. Cette mission serait confiée à l’Agence nationale de la sécurité des systèmes d’information, l’ANSSI, et à la direction interministérielle du numérique et du système d’information et de communication de l’État, la DINSIC, deux instances qui, au dire même du président du Conseil national du numérique, offrent un savoir-faire parmi les meilleurs du monde en matière de sécurité numérique.
Il serait, me semble-t-il, peu responsable que les résultats, notamment critiques, de ces contrôles périodiques soient rendus publics, car ils pourraient évidemment intéresser des utilisateurs « adverses ». Toutefois, vous paraît-il concevable qu’ils soient partagés avec des instances représentatives et responsables, comme, justement, le Conseil national du numérique et la CNIL ?
Nous jouons ici notre rôle de sénateurs, monsieur le ministre, comme contrôleurs du Gouvernement et comme vigies en matière de libertés. Je crois que ce débat, qui est bienvenu, sera constructif et la disposition d’esprit dont vous avez fait preuve depuis le début des discussions montre bien que le Gouvernement est pleinement disposé à fournir le maximum d’arguments et de réponses, mais aussi à rechercher les solutions optimales. Dès lors, il convient de vous encourager à poursuivre et conclure ce débat.