Intervention de Philippe Bas

Nous auditionnons M. Guillaume Poupard, directeur général de l'agence nationale de la sécurité des systèmes d'information (Anssi), et M. Henri Verdier, directeur interministériel du numérique et du système d'information et de communication de l'État (Dinsic), sur la création, par un décret du 28 octobre, d'un traitement de données à caractère personnel relatif aux passeports et aux cartes nationales d'identité. L'Anssi et la Dinsic ont été saisies. Vous nous indiquerez vos méthodes de travail, les vérifications auxquelles vous comptez procéder et votre calendrier.

Le Sénat s'est préoccupé dès 2005 de la sécurisation des titres d'identité. Une mission d'information avait été confiée au sénateur Jean-René Lecerf, donnant lieu à la publication d'un rapport, la même année, émettant des propositions sur la sécurisation des titres d'identité. L'enjeu est de lutter contre la propagation des identités fictives ou des usurpations d'identité, qui placent les victimes dans une situation de grande détresse. Le phénomène est devenu un phénomène de société et doit être traité par les pouvoirs publics.

En 2011, MM. Jean-René Lecerf et Michel Houel ont déposé une proposition de loi, qui fut débattue en 2011 et 2012, et dont le rapporteur était M. François Pillet. Alors que l'Assemblée nationale et le Sénat s'étaient entendus sur un texte en commission mixte paritaire, le Gouvernement a demandé à l'Assemblée nationale de débattre en premier sur les conclusions de la CMP, en y ajoutant un amendement qui modifiait considérablement l'équilibre du texte. Le Sénat a donc rejeté les conclusions de la CMP. Finalement, le Conseil constitutionnel a déclaré la mesure visée non conforme à la Constitution.

Le Sénat n'est donc pas hostile par principe à la création de ce fichier, mais nous souhaitons nous assurer que les libertés publiques seront garanties et que les données personnelles seront protégées. Dès le 18 octobre j'ai saisi le ministre de l'intérieur qui m'a répondu le 27 octobre, trois jours avant la publication du décret le 30 octobre. Nous avons auditionné M. Cazeneuve puis Mme Falque-Pierrotin, présidente de la Commission nationale de l'informatique et des libertés (Cnil), et M. Mahjoubi, président du Conseil national du numérique. Nous avons eu un débat en séance publique avec le ministre. Nous lui avons demandé de suspendre le décret jusqu'à ce que certaines vérifications soient réalisées pour s'assurer de la protection du fichier contre d'éventuelles attaques extérieures et de la non-mutabilité du système. Nous voulons éviter que la configuration technique, déterminée par le décret, puisse être modifiée en vue d'élargir les usages du fichier. M. Cazeneuve a répondu qu'il avait saisi l'Anssi et la Dinsic, que vos rapports seraient rendus publics et qu'il en tirerait les leçons. Il n'a pas prononcé le mot de « suspension » mais il est clair que le fichier ne sera pas étendu aux cartes d'identité tant que cette procédure n'aura pas eu lieu. C'est pourquoi nous souhaitons comprendre vos méthodes. Les attaques récentes contre de grandes institutions américaines ces dernières années ont montré que nulle forteresse numérique n'était invulnérable.