Intervention de Bruno Le Roux

Merci de votre invitation sur le rapport d'audit de sécurité réalisé par l'Anssi et la Dinsic sur le fichier des titres électroniques sécurisés (TES).

Comme le pensait mon prédécesseur, il est très important que sur un tel sujet d'intérêt général, nous puissions échanger en toute transparence. En novembre dernier, vous aviez eu avec Bernard Cazeneuve des échanges particulièrement riches et constructifs, notamment sur les conditions de sécurité du système TES. Il avait alors pris deux engagements importants.

Tout d'abord, les textes devaient évoluer pour que les citoyens le demandant puissent s'opposer au versement de leur empreintes digitales - dont le recueil reste obligatoire, j'y insiste - dans la base de données centralisée TES. Cela ne vaut que pour les cartes nationales d'identité : le versement des empreintes digitales pour les passeports est obligatoire en vertu de la législation européenne. Je rappelle que notre intention initiale était d'apporter une garantie de protection et de traçabilité pour la conservation des empreintes digitales numérisées pour les cartes nationales d'identité équivalente à celle qui est offerte par le système TES pour les passeports, soit un progrès notable par rapport au mode de conservation actuel des documents sous forme papier. Sur ce premier engagement, le travail est presque achevé. Un projet de décret en Conseil d'État a été élaboré et transmis en décembre à la Commission nationale de l'informatique et des libertés (Cnil) pour examen.

Second engagement : la réalisation d'un audit du dispositif par les experts reconnus de l'Anssi et de la Dinsic a été définie par une lettre de mission, claire, du 17 novembre, afin de concentrer l'expertise, d'une part, sur la protection de l'application TES contre les risques d'intrusion ou de piratage, et, d'autre part, sur le renforcement du lien unidirectionnel permettant de passer des données alphanumériques aux données biométriques - et non l'inverse. Nous nous étions engagés à rendre public le rapport, de même qu'à tenir compte de ses conclusions avant toute généralisation du recours à TES pour délivrer les cartes nationales d'identité. L'homologation du système constituait, à cet égard, une condition sine qua non. L'Anssi et la Dinsic m'ont remis un rapport précis et fort éclairant le 13 janvier dernier. Conformément à nos engagements, je l'ai moi-même rendu public dès le 17 janvier, après en avoir retenu les décisions qui s'imposaient. Le Gouvernement a donc tenu ses engagements.

Les onze recommandations du rapport de l'Anssi et de la Dinsic seront pleinement mises en oeuvre, dans la mesure où elles s'inscrivent dans la continuité des mesures de sécurisation renforcée du dispositif déjà prises par le ministère de l'intérieur, pour améliorer la sécurité anti-intrusion de l'application et renforcer la protection du lien unidirectionnel. C'est pourquoi nous allons les mettre en oeuvre sans délai.

Le rapport souligne deux éléments importants parfaitement complémentaires : d'une part, il établit explicitement que le système TES est « compatible avec la sensibilité des données qu'il contient », dans son architecture comme dans ses conditions d'usage ; d'autre part, il conclut que la sécurité du système TES est perfectible. C'est vrai, et nous allons la perfectionner.

Même après avoir perfectionné et renforcé la sécurité de TES, dans les prochaines semaines, puis en continu, le risque zéro n'existe pas dans ce domaine. Pour autant, faut-il renoncer à agir et risquer de paralyser l'action publique ? Je ne le crois pas. Comme le disait le directeur général de l'Anssi, M. Guillaume Poupard, le 18 janvier devant la commission des lois de l'Assemblée nationale, il nous faut « renoncer au concept de sécurité absolue », et nous adapter aux menaces selon une démarche de sécurité dynamique et continue. Voilà tout l'enjeu de la procédure d'homologation : analyser les risques, déterminer les actions engagées pour les réduire et définir les risques résiduels acceptables. La sécurité de TES était une préoccupation du ministère de l'intérieur bien avant novembre dernier, dans une démarche d'évolution progressive des versions de l'application, laquelle date de 2008. Ainsi, un test d'intrusion avait été programmé par l'Agence nationale des titres sécurisés bien avant les débats qui nous occupent, et a été mis en oeuvre en novembre 2016. Le débat engagé à l'automne dernier a accéléré cette démarche de sécurisation permanente. C'est pourquoi j'ai conditionné la généralisation du recours à TES pour les cartes nationales d'identité à la réévaluation du processus d'homologation.

Toutes les mesures utiles pour réduire ces risques ont été mises en oeuvre ou sont en train de l'être, sur la base des échanges permanents entre les services du ministère et les auditeurs de l'Anssi et de la Dinsic. Désormais, 94 % des mesures du plan d'action sont achevées. Les 6 % restants correspondent à une mesure qui sera mise en oeuvre dès le 28 février prochain.

Deux sujets sont susceptibles d'inquiéter nos concitoyens : le risque d'intrusion et le risque de détournement de notre système. Le fichier TES contient, outre des pièces justificatives produites pour l'obtention du titre, des données alphanumériques - nom, prénom, adresse, taille, couleur des yeux, sexe, date et lieu de naissance - et des images numérisées - photographie d'identité, signature, deux empreintes digitales. Le risque d'intrusion correspond concrètement au piratage du système TES, et à l'utilisation de ses données par un tiers mal intentionné. Le plan d'action en cours de mise en oeuvre, nourri de l'expérience du test d'intrusion que je viens d'évoquer, a pour objectif de réduire au maximum ce risque. Dans le cadre du processus continu d'amélioration de la sécurité de TES, je souhaite reproduire ce type de démarches. Comme dans la lutte contre la délinquance, nous devons tenir compte de l'évolution des moyens qui nous sont opposés pour nous nuire, et adapter et moderniser constamment nos propres moyens de sécurité, afin d'être dans la réactivité et l'anticipation permanentes.

Élément fondamental de protection contre l'intrusion, TES est maintenu à distance des réseaux internet ouverts au public et a été élaboré dans une logique de cloisonnement des informations et des opérations, ce qui réduit considérablement les risques.

L'autre risque est le « détournement » de TES à des fins d'identification et non d'authentification. Conformément à la jurisprudence du Conseil constitutionnel, le Gouvernement n'a jamais souhaité mettre en place un système d'identification systématique, qui reposerait sur la recension exhaustive des données personnelles utiles à la délivrance de titres d'identité. TES permet exclusivement d'authentifier l'identité des personnes à partir de leur nom, et en aucun cas de les identifier à partir de leurs seules données biométriques. Authentifier l'identité revient à s'assurer que la personne qui sollicite la délivrance ou le renouvellement d'un titre est bien la personne connue sous cette identité, et ce par comparaison des données enregistrées sous cette même identité. C'est ainsi que l'on préserve les usagers du risque d'usurpation d'identité.

Le rapport fait donc le point sur le risque de « détournement » de TES à des fins d'identification. Il confirme l'existence d'un lien unidirectionnel entre données alphanumériques et données biométriques. TES ne peut pas être exploité à des fins d'identification, c'est-à-dire en passant des données biométriques aux données alphanumériques. Cette asymétrie est-elle contournable ? Peut-elle être dévoyée ? Selon le rapport, ce n'est qu'en disposant de la clé de déchiffrement de ce lien et en reconstituant une autre base, fiche par fiche et en dehors de TES, que ce risque de dévoiement pourrait apparaître.

Toutes les recommandations ont été entendues et mises en oeuvre pour faire obstacle à d'éventuelles tentatives de ce genre. Le chiffrement de ce lien sera renforcé, l'analyse des risques approfondie, et les mécanismes de « défense en profondeur » contre un tel détournement seront consolidés, grâce au chiffrement des empreintes numérisées et à la mise en place de mécanismes de détection d'usages anormaux du lien unidirectionnel.

Depuis la mise en oeuvre de TES en 2008, aucun cas de dévoiement de son usage n'a été identifié. Les usages de TES par les agents de préfecture et ceux de l'Agence nationale des titres sécurisés sont pleinement conformes aux textes régissant ce traitement de données.

Cela doit-il nous surprendre ? Non : nous sommes dans un État de droit, avec des lois et des règles précises, respectées par les agents de l'État, et notamment ceux du ministère de l'intérieur. C'est cet État de droit que le rapport est venu nous rappeler. La place Beauvau n'est plus depuis longtemps l'antre de Fouché - elle ne l'a d'ailleurs jamais été, si l'on veut être conforme à la réalité historique... Les femmes et les hommes du ministère de l'intérieur sont avant tout des défenseurs de nos lois et de nos libertés publiques.

Les travaux de l'Anssi et de la Dinsic ont été très utiles pour faire évoluer TES vers des conditions de sécurité optimales, garantissant un niveau de protection des données personnelles élevé. Le débat qui a eu lieu au Parlement s'est avéré fort utile. Mais je ne m'en contenterai pas. Je souhaite que le ministère de l'intérieur s'inscrive dans un processus d'amélioration continue de TES, afin que le système bénéficie en permanence d'un niveau de sécurité adapté aux risques, avec une réévaluation à haute fréquence du dispositif, chaque année, tandis que les services interministériels compétents continueront à accompagner le ministère dans ces travaux indispensables.

TES n'est que l'outil de la réforme structurelle « Plan Préfectures Nouvelle génération » (PPNG), qui doit être généralisée dans les délais escomptés. À ma demande, juste après la remise du rapport, la commission d'homologation s'est réunie le 8 février pour se prononcer sur l'analyse des risques et la conformité des mesures de maîtrise de ces risques. Au vu de la stratégie de sécurisation et du plan d'action mis en oeuvre, j'ai ainsi homologué TES au titre de la sécurité des systèmes d'information. La généralisation de cette réforme et l'utilisation de TES pour la délivrance des CNI interviendront du 20 février au 27 mars prochains, dans les conditions prévues par arrêté ministériel. L'homologation ne marque pas la fin d'un processus de sécurisation dynamique, mais elle ouvre la voie à la mise en oeuvre de la réforme. Plusieurs sénateurs se sont rapprochés de mon cabinet ou de celui du Premier ministre pour prendre connaissance des conditions du déploiement. J'ai moi-même transmis, le 10 février, aux présidents du Sénat et de l'Assemblée nationale, l'instruction adressée le 30 janvier dernier aux préfets sur la mise en oeuvre opérationnelle.

Comme c'est déjà le cas depuis le début de l'hiver dans les départements pilotes des Yvelines et de la région Bretagne, nous allons pouvoir dématérialiser, sous forme numérique, les échanges entre les mairies qui accueillent le public et les 27 plateformes préfectorales où l'on instruit les demandes de CNI et de passeports, les centres d'expertise et de ressources titres (CERT). Le rapport confirme sur le plan technique les apports positifs de TES au service des trois grands objectifs de la réforme de la délivrance des CNI portée par le ministère de l'intérieur dans le cadre du PPNG.

Tout d'abord, cette évolution soutiendra la réforme du service public, dans les communes comme dans les préfectures, en nous faisant gagner en efficacité. La réforme des titres nous permettra de réinvestir un millier d'emplois dans les territoires, sur des missions à forte valeur ajoutée telles que la prévention et la gestion des crises, le conseil juridique et le contrôle de légalité, la lutte contre la fraude ou encore la coordination de l'action de l'État et le développement territorial.

Ensuite, cette réforme apportera un réel bénéfice pour simplifier les démarches des usagers. Avec les télé-procédures qui accompagnent l'évolution du traitement des CNI vers TES, de nouveaux services pourront être offerts à nos concitoyens : pré-demande en ligne, renouvellement simplifié de la CNI... Cette simplification s'accompagnera également d'un raccourcissement des délais de délivrance du titre, grâce à la suppression des échanges papiers entre les mairies, les préfectures et les services de production des titres. Enfin, cette réforme renforcera la sécurité des titres délivrés et réduira les risques de fraude et d'usurpation d'identité. En s'appuyant sur une base centrale d'empreintes numérisées, TES rapproche automatiquement les éléments produits, y compris biométriques, lors d'une demande de titre concernant une même identité, ce qui limite le risque d'usurpation d'identité. TES limite les risques de fraude dès lors qu'il permet d'interagir avec des données authentifiées et sécurisées d'état civil.

Bernard Cazeneuve et moi-même avons, depuis plusieurs mois, fait preuve d'une véritable transparence et voulu contribuer de manière constructive au débat public sur le sujet. Aujourd'hui, j'ai surtout évoqué des questions de sécurité des systèmes d'information ; il existera toujours des risques, à nous de les rendre sinon résiduels, du moins acceptables.

J'espère que nous retirerons de TES tous les bénéfices que nous en attendons, ceux qui résultent du PPNG. Les deux sites pilotes dans les Yvelines et en région Bretagne ont un bilan extrêmement satisfaisant. Je remercie le secrétaire général du ministère de l'intérieur, M. Denis Robin, pour ce travail très important. Je souhaite aller au bout de ce sujet, en poussant l'expertise non seulement sur les recommandations du rapport, mais également sur les orientations de long terme qu'il contient. Deux orientations sont significatives : d'une part, le passage d'empreintes digitales brutes à des gabarits, et d'autre part, si les gabarits sont retenus - ce qui offre une probabilité de résultat et non un résultat certain - de pouvoir conserver l'intégralité des empreintes digitales dans un fichier distinct de TES. Je suis très intéressé aux résultats de la première expertise menée et très attentif à l'impact sur notre action en matière de lutte contre la fraude et, surtout, à ses conséquences pour l'autorité judiciaire, première utilisatrice des empreintes digitales, notamment pour lutter contre le terrorisme. Je suis plus réservé sur la seconde orientation car ce fichier serait assimilable à un fichier de police, et je connais la sensibilité des débats auxquels elle nous conduirait.

Même si cela ne fait pas partie de la lettre de mission sur le fichier TES, nous ne pourrons pas nous épargner un débat au Parlement sur l'identité numérique - nous en avons convenu avec MM. Verdier et Poupard - notamment lorsqu'on observe certaines utilisations des smartphones ou d'outils numériques. Au-delà d'une réflexion opérationnelle du prochain Gouvernement, les assemblées devront mener une réflexion de fond sur la protection des données personnelles et des libertés publiques. Vous aurez du travail dans les prochains mois...