En auditionnant M. le ministre de l'intérieur, vous-même, président du Conseil national du numérique, et Mme la présidente de la Cnil, nous cherchons, en tant que chambre de réflexion et assemblée particulièrement dédiée à la protection des libertés publiques, à mener un travail approfondi sur le décret relatif à la création d'un traitement de données à caractère personnel relatif aux passeports et aux cartes d'identité.

Nous le comprenons, au-delà des garanties juridiques, l'architecture des traitements de données constitue en soi un sujet. Nous connaissons l'investissement intellectuel du Conseil national du numérique sur cette question. Nous recherchons une forme d'équilibre entre la nécessité de sécuriser la délivrance des cartes d'identité - c'est une préoccupation ancienne du Sénat, la commission des lois ayant d'ailleurs publié, dès 2005, un rapport sur cette question, qui avait abouti à une proposition de loi, ensuite dénaturée au point d'être censurée par le Conseil constitutionnel - et la nécessité que cette sécurisation ne se fasse pas au détriment de la protection d'autres libertés. N'ayant pas pris position par principe contre le fichier, nous cherchons à approfondir notre réflexion.

Nous avons aussi l'objectif de trouver un équilibre. Le Conseil national du numérique, qui est nommé par le Président de la République, existe depuis plus de cinq ans, bien qu'il ait connu différentes formes d'organisation. Depuis quatre ans, il s'est efforcé de conseiller et d'orienter le Gouvernement, que celui-ci le souhaite ou non, dans une démarche de dialogue. Tel est le sens de notre intervention publique, depuis la publication du décret du 28 octobre 2016.

J'ai d'abord eu une conversation téléphonique avec le ministre de l'intérieur, que j'ai ensuite rencontré. Puis est intervenue cette fameuse lettre publique, laquelle ne nous a pas satisfaits, car elle n'annonçait aucune évolution. Nous avons ensuite eu un long entretien avec M. Cazeneuve et son cabinet jeudi dernier, avant l'annonce par Bernard Cazeneuve et Axelle Lemaire d'une avancée dans la direction que nous souhaitons.

J'en viens aux éléments qui ont justifié notre intervention publique. Je serai bref, car vous connaissez nos positions, comme en ont témoigné les échanges intervenus ce matin. Vous êtes particulièrement bien informés, votre opinion a été forgée par des influences riches et diverses.

Nous l'avons répété, nous insistons sur la concertation, marque de fabrique du Conseil national du numérique. Nous pensons que, en la matière, aucun grand expert ne peut orienter les grandes décisions : celui qui pense avoir seul l'expertise du numérique est un menteur ou un incompétent. Il n'existe pas de décision numérique unique.

La décision qui a été prise est la première d'une longue série, car le Gouvernement devra faire des choix technologiques importants dans les prochaines années. Dès septembre 2017 devrait s'ouvrir un débat sur la plus grande base de données qu'on ait jamais faite historiquement dans le domaine médical. Le problème des données fiscales interviendra ensuite, tout comme celui des données relatives aux salariés. La loi Travail et le compte personnel d'activité devraient également engendrer une sacrée base de données. Ces questions se reposeront donc aux assemblées très régulièrement.

À nos yeux, il est donc essentiel de mettre en place, dans le cadre des décisions qui devront être prises, de nouveaux dispositifs de concertation. Les démocraties ne sont pas encore capables de discuter des grands sujets technologiques, bien que ces derniers ne soient pas inaccessibles au débat public. Pourtant, pour ce qui concerne le numérique, c'est comme si on pouvait se débarrasser de la question technologique, en affirmant que la meilleure solution technologique est celle qui a été prise. Raisonner ainsi, c'est ignorer la complexité et les enjeux liés à cette question.

Nous avons d'abord regretté l'absence de concertation et d'étude d'impact. Or ce qui caractérise le travail parlementaire est l'ouverture et le temps, pour analyser, consulter, auditionner, puis présenter des éléments de discussion préparatoires. Il s'agit de donner les raisons pour lesquelles on fait certains choix, ce qui n'est pas le cas aujourd'hui.

C'est d'ailleurs le sens du règlement sur les données personnelles, qui imposera, pour les entreprises, avant la constitution de bases majeures, des études d'impact par des organismes neutres, capables d'évaluer les risques de sécurité et d'atteinte aux libertés individuelles.

La consultation du Conseil national du numérique a porté sur deux éléments : la sécurité de la base en cas d'attaque immédiate et la sécurité à long terme, à savoir le détournement des finalités.

Lors de nos entretiens avec M. le ministre, nous avons rappelé un point non négociable : le Conseil national du numérique, le CNNum, a la possibilité de s'autosaisir et d'échanger avec les experts. Ainsi, dans un temps record, nous avons lancé une plateforme de consultation citoyenne en ligne. Elle a déjà réuni 400 contributions construites émanant de centres de recherche et de chercheurs étrangers. Nous sommes donc en train de réunir des informations extrêmement diverses. Pourtant, on nous avait affirmé qu'il n'y avait personne à consulter ! Or nous pouvons vous en présenter aujourd'hui plus d'une centaine !

Grâce à son expertise, le CNNum devra traiter ces informations, pour leur donner un sens. M. le ministre de l'intérieur s'est engagé à écouter les résultats de cette consultation et à y répondre.

Le détournement de finalité est un sujet majeur, mais il a été beaucoup débattu ce matin. Une sous-finalité du décret est moins claire. Je veux parler de l'utilisation des données par le renseignement, en matière de lutte antiterroriste : dans quel cadre les authentifications seront-elles utilisées ? Il n'existe pas d'illustration en langage clair de l'usage qui en sera fait. S'il s'agit d'une technique de renseignement, relève-t-elle de la CNCTR, la Commission nationale de contrôle des techniques de renseignement ?

Permettez-moi d'évoquer le « chiffrement unidirectionnel destiné à garantir la sécurité des données ». Pour celui qui maîtrise techniquement la structure d'une base de données, cela ne veut rien dire ! À partir de ces termes, régulièrement mis en avant, les experts sont capables de dessiner une centaine de schémas de bases de données différents.

Il convient de distinguer la protection par le droit et la protection technologique. Affirmer l'impossibilité technologique, cela ne veut rien dire non plus. On le sait, l'Anssi, l'Agence nationale de la sécurité des systèmes d'information informatique, et la Dinsic, la Direction interministérielle du numérique et du système d'information et de communication de l'État, seront saisies de la question. Toutefois, j'insiste sur ce point, elles devront être saisies non seulement sur la sécurité de l'accès à la base, mais aussi sur l'architecture même du dispositif et des a priori méthodologiques et théoriques utilisés dans ce cadre.

Nous parlons ici de biocryptologie. En Israël, plusieurs universitaires se sont penchés sur ce sujet au moment de la mise en place des différentes bases de données biométriques étatiques. De nombreux États souhaitent mettre en place ces dispositifs, qui sont nécessaires. L'enjeu, essentiel, est le contrôle et l'authentification des titres d'identité.

Par chance, la France compte les meilleurs experts du monde en la matière : je pense notamment aux chercheurs de l'INRIA, l'Institut national de recherche en informatique et en automatique, et de l'université de Caen.

Le plus difficile à entendre, pour moi, c'est l'argumentaire suivant : « nos services techniques ont fait le meilleur choix, nous n'avons aucune raison d'en douter ». En 2016, une telle affirmation n'est pas acceptable, car il n'existe pas de meilleur choix possible.

Quant aux risques de sécurité à court terme, à savoir les atteintes à la base, ils relèvent des missions traditionnelles de l'Anssi. Il faut le savoir, aucune base n'est surprotégée. Le fait de ne pas être connecté à internet ne rend pas invulnérable. Les attaques majeures ont toujours visé des systèmes extrêmement protégés. Vous vous doutez que les usines énergétiques iraniennes infiltrées n'étaient pas connectées à internet ! Elles n'ont pas été contaminées par un email ! De la même manière, plusieurs centaines de milliers de données relatives aux fonctionnaires américains, extrêmement protégées, ont été piratées et publiées sur internet.

Peu de gens sont capables de hacker une base de données protégée par l'Anssi. Cette agence est en effet l'un des organismes les plus compétents en Europe, voire dans le monde, en matière de protection des systèmes d'information. Elle est composée d'experts faisant partie des meilleurs au monde et présidée par un ancien militaire, chercheur et expert en cryptographie et sécurité. Nous devons donc avoir une confiance absolue en ces services. Pour pirater une base dans ces conditions, il faut s'investir dans l'attaque, et disposer d'importantes ressources financières et intellectuelles. Dans le monde, quelques pays, quelques milliers de hackers, disposent de telles ressources et d'une recherche avancée en sécurité de réseau. Ils ont montré, au cours de la campagne électorale américaine, que l'on pouvait accéder à certaines informations. Notre système, qui pourrait regrouper la quasi-totalité de la population de l'une des plus grandes démocraties du monde, est donc très attirant pour certains pays.

Tel est l'enjeu de la centralisation de ces données. Entre la centralisation absolue et la décentralisation absolue, il y a des options intermédiaires à expertiser. De même, on peut agir sur le format des données : cette fameuse base centralisée pourrait ne pas regrouper des images parfaites, et donc exploitables par n'importe qui. Une représentation mathématique intermédiaire est sans doute possible. Ces hypothèses sont issues de la recherche. Quel scénario poserait le moins de risques en cas de hacking et intégrerait en même temps l'idée d'une performance de l'État, le contrôle d'un titre ne devant exiger que quelques secondes ? Il existe des dispositifs qui permettent d'être performants, mais leur mise en place exige une discussion approfondie des experts.

Nous allons compléter la consultation publique que nous avons lancée par la recherche active de certains experts. Notre agenda de rencontres est important. J'ai confiance dans la volonté d'ouverture et de consultation du ministre de l'intérieur.

S'agissant de l'inscription de l'empreinte de la personne non pas dans la base de données, mais sur une fiche en carton, stockée à la préfecture, je n'ai pas de position ferme. Le contrôle sera-t-il alors possible ? L'essentiel, en la matière, relève du détail. Nous avons besoin d'avoir plus d'informations sur ce sujet.

L'idée que la base de données ne soit pas complète était au départ de nature à nous rassurer. Toutefois, les exemples étrangers nous ont amenés à penser que le risque restait majeur. L'enjeu, c'est la centralisation, la sécurisation, la non-recomposition et la non-exploitation possible à court terme et à long terme des données.

Au niveau mondial, les fichiers ont toujours eu tendance à être détournés de leur finalité d'origine. Nous traversons sans doute à l'heure actuelle une crise de sécurité. Si je me réfère aux programmes des candidats à l'élection présidentielle de droite et du centre, je constate qu'il n'est pas si compliqué de voter une loi constitutionnelle qui introduise une réforme permettant la constitution de ces bases de données. Certains élus seraient pour une identification massive, parce que c'est très pratique - c'est vrai - pour les enquêtes. Historiquement et constitutionnellement, nous avons choisi de ne pas le faire. Un tel sujet devra faire l'objet d'un débat national sans doute vif, violent et long, chacun ayant conscience que les réponses apportées transformeront notre démocratie. On ne peut pas, subtilement, créer toutes les conditions du risque pour les années à venir.

Après l'échange de ce matin, votre contribution est très intéressante. Je ne suis pas technicien. En grand pragmatique, je poserai deux questions très simples : l'irréversibilité d'un fichier peut-elle protéger définitivement ? Si cette irréversibilité est techniquement impossible, quid du fichier qui existe actuellement pour les passeports ?

Ma question porte sur les solutions alternatives. Il semblerait que des titres individualisés, avec une puce, pourraient remplir la mission assignée. Est-ce possible ? Quels seraient les inconvénients ? Quant aux avantages, ils sont clairs, puisqu'il n'est plus nécessaire de mettre en place un fichier centralisé. Par ailleurs, vous avez évoqué un système intermédiaire entre des cartes individualisées et quelques fichiers centraux. Pourriez-vous nous en dire un peu plus en la matière ?

Vous pensez qu'il faut un système unifié de confection et de mise à jour de l'ensemble des titres d'identité. Il s'agit d'un point central, car l'incapacité de l'État à assurer une sécurité raisonnable des titres d'identité individuels ouvre la voie à des excès et à des agressions que l'on a du mal à mesurer.

Par ailleurs, l'outil doit permettre de répondre à des milliers de demandes par jour - il y a environ 60 millions de CNI, celles-ci ayant une validité de 10 ans, on en fabrique 6 millions par an, soit 500 000 par mois. Je vois les inconvénients d'un fichier complètement unifié, mais comment prévoyez-vous de réduire ces inconvénients par le recours à des fichiers décentralisés ? La finalité initiale du projet, qui est de délivrer un document d'identité fiable à chaque citoyen, y compris en cas de perte ou de vol, demeurerait-elle fonctionnelle ?

Vous avez brossé un tableau des risques potentiels de constitution d'une telle base, mais une base contenant la moitié des données concernées est déjà en exploitation depuis plusieurs années. Avez-vous constaté la concrétisation des risques évoqués ?

Pensez-vous que le choix d'un système de base à « lien faible », système qui avait été choisi par le Sénat en 2011, conduirait à dégrader les informations que contient aujourd'hui le fichier TES ?

Monsieur Pillet, la certitude numérique, en 2016, c'est qu'il n'y a pas de certitude ! Raconter que nous allons construire une cathédrale de sécurité qui nous protégera pendant vingt ans, c'est parler le langage de l'informatique des années 80 et 90. Nous avons commencé à l'abandonner dans les années 2000, quand de grands acteurs ont vu que leurs dispositifs de sécurité ne tenaient pas. Yahoo, l'un des plus grands opérateurs, s'est fait voler plus de 400 millions de données d'utilisateurs l'année dernière. La NSA s'est fait voler un certain nombre de données spécifiques qu'elle avait elle-même capturées dans d'autres systèmes d'information. Aujourd'hui, la certitude, c'est qu'il n'y a rien de définitif. Il faut plutôt créer les conditions pour que ce qui est susceptible d'être volé ne soit pas intéressant pour les voleurs.

Une base de 29 millions de passeports existe déjà. Un accord européen et international, notamment avec les États-Unis, a permis une normalisation du stockage de ces informations. Vous m'avez demandé si cette base avait été hackée. Cela n'a heureusement pas été le cas ! Le jour où il y aura une crise de confiance relative aux passeports, les États fermeront leurs frontières. C'est un risque dont personne ne souhaite la concrétisation.

Cette base n'est pas suffisamment sécurisée, car elle a été construite avec les savoirs théoriques de 2000 à 2008 et avec la capacité de discussion ouverte et démocratique de l'époque.

Par ailleurs, derrière les liens faibles, il y a une quarantaine de schémas potentiels. Ce n'est pas une option technologique permettant de déterminer si la base sera très sécurisée ou non, ni si elle sera plus ou moins facilement recomposable.

La capacité mondiale en termes de temps de calcul, notamment grâce aux ordinateurs quantiques, et les performances des serveurs ont beaucoup évolué par rapport au moment où ces fichiers ont été mis en place en 2008. Le nombre de spécialistes dans les pays qui ont décidé de se doter de cette capacité n'a jamais été aussi important. Certaines formations dispensées en France comptent parmi les meilleures au monde sur ces sujets. Ces données sont classées, mais j'ai l'impression que notre armée et nos services de renseignement sont plutôt bien dotés. Notre pays nourrit cette expertise.

Toutefois, le risque n'a jamais été aussi important, y compris sur la base existante. Il serait donc de bonne gouvernance et de bonne administration de ces données que tous les pays qui ont souhaité créer cette base en commun sur des standards communs puissent coopérer...

Il n'y a pas de base commune !

Vous avez raison. Il n'y a pas de base commune mais des critères, des standards communs.

Mais chaque pays a son propre système.

Les données biométriques sont enregistrées de telle manière dans les titres que tous les dispositifs de passage aux douanes sont capables de les lire, mais il n'y a heureusement pas de base commune. Ils lisent et comparent l'empreinte biométrique.

Non !

Ils comparent un proxy intermédiaire entre l'image stockée et celle qui est présentée.

Ils ne lisent pas les biométries ! Chaque pays a son propre code !

L'accord européen sur les titres sécurisés comprend des dispositions sur les standards.

Le ministre Cazeneuve disait ce matin qu'il serait intéressant que la nouvelle base puisse être réexpertisée tous les ans. Il faudra que cela bénéficie aussi à la base déjà existante.

Pourquoi pas des cartes individuelles ? C'est la question que je vous pose. L'argument budgétaire ne peut pas suffire à exclure cette option. Seule une étude d'impact aurait permis de déterminer si cette dépense de 200 ou 300 millions d'euros était susceptible de réduire les risques, ou si elle créait au contraire un risque majeur. Si la seule finalité est l'authentification des titres, les cartes individuelles y répondent très fortement, mais elles ont aussi des défauts...

Y compris quand elles sont détournées ?

C'est pour cela que j'introduis une nuance en disant qu'elles ont aussi des défauts.

Quid de la carte à puce ?

La carte à puce ne renvoie pas à une technologie unique. On ne sait pas ce qui est stocké dans la carte à puce, ni quel est le proxy qui est fait. Je n'ai pas eu d'exemple de détournements de reproduction de cartes à puce contenant des données biométriques sur données chiffrées.

Même s'il y a falsification ou détournement, cela concernera une dizaine de personnes tout au plus.

Un vrai risque existe, parce que, si l'on peut hacker une base, on peut aussi hacker la production d'une carte. Si les empreintes de la personne correspondent à celles qui sont dans la puce et qu'il n'y a pas de base permettant de les authentifier, on peut très bien fabriquer des fausses cartes qui seront lisibles. C'est pour cela qu'il est important d'avoir une base.

Mes chers collègues, l'existence d'un risque n'est pas en soi un argument dirimant face à toute initiative. La question est celle de la mesure du risque. Nous ne cessons d'avancer en prenant des risques. La question sur laquelle nous devons nous concentrer est la suivante : le risque pris dans le cadre de ce décret est-il excessif ou est-il raisonnable ? L'argument du risque ne suffit pas à dissuader la décision publique d'être prise. Je ne veux pas me faire l'avocat du diable, mais je veux que l'on essaie d'intégrer un raisonnement de proportionnalité dans la réponse que nous souhaitons apporter, parce qu'il y a aussi un risque à ne pas sécuriser la délivrance des titres d'identité.

Vous êtes, comme nous tous, sensible à la détresse de ces concitoyens qui se sont fait voler leur identité.

Et à celle des policiers qui, au quotidien, sont amenés à contrôler de très nombreux titres d'identité pour nous protéger.

Vous faites bien de le rappeler, car cette dimension est très importante. C'est pour nous une voie étroite à trouver. Je vous rends la parole, mais je crois que c'est bien comme cela qu'il faut poser le problème.

Sur les solutions intermédiaires que vous évoquiez, comme celle d'avoir un système pour partie centralisée, pourriez-vous être un peu plus précis ?

Le fait de tout centraliser et de réunir toutes les expertises pour protéger la base permet d'abaisser la probabilité d'occurrence de ce risque jusqu'à le rendre extrêmement faible, mais les conséquences de sa concrétisation sont alors majeures.

Vous connaissez peut-être la doctrine de toutes les banques émettrices de monnaie. Avec le temps les faussaires deviennent capables de fausser des monnaies. Il faut donc que les émetteurs de monnaie soient capables de moderniser leur technologie plus rapidement que les faussaires. Les Américains, qui continuent à utiliser du papier et de l'encre pour fabriquer leur monnaie, sont les seuls à ne pas y croire. Dans les pays européens, on a modernisé plus régulièrement les missions de ce type.

Oui, le moment arrivera où la technologie de reproductibilité des titres individuels, même équipés d'une puce, sera obtenue par des faussaires. Il faudra alors faire évoluer cette technologie. Ce risque a plus de chance de se réaliser, je vous l'accorde, mais il est moins grave que celui que nous avons évoqué tout à l'heure.

Quid des fichiers décentralisés ?

Faut-il des fichiers semi-décentralisés, ou des fichiers ne contenant pas les données biométriques, stockées dans une autre base ? Je pourrai vous envoyer une dizaine d'articles de chercheurs qui ont consacré leur thèse à évaluer toutes les options. Qu'est-ce qui se passe quand, au lieu d'utiliser une représentation physique, on utilise une formule mathématique qui représente la disposition des points du doigt ? Si cette information est séparée en plusieurs bases, la recomposition est extrêmement complexe. D'autres pointent que cette base est moins performante. Un vrai débat existe dans la recherche.

Dans ce schéma, il s'agit toujours de fichiers nationaux de 65 millions d'individus, mais les composants sont répartis entre des fichiers qui doivent dialoguer ?

Le Conseil reste ouvert à toute solution sécurisée, mais une base centrale divisée en deux bases séparées avec un lien unidirectionnel ne nous paraît pas suffisant.

Monsieur Richard, nous partageons tout à fait les objectifs : empêcher le vol d'identité, et faciliter le travail quotidien des policiers. À l'heure actuelle, le contrôle biométrique peut nécessiter plusieurs heures, voire parfois plus d'une journée. Il ne sert à rien et n'est généralement pas utilisé.

Concernant l'utilisation de cette base par les services de renseignement, comme je vous le disais, il n'y a pas de clarté absolue. Nous souhaitons tous que les services de renseignement soient capables de nous protéger. Ce que nous avons apporté dans le débat sur la loi relative au renseignement, c'est qu'ils soient bien contrôlés, notamment par les assemblées, et que la démocratie ait conscience des techniques utilisées.

En conclusion, je dirai que l'Anssi doit être au coeur du dispositif. Dans de nombreuses démocraties de par le monde, des conventions avec les laboratoires permettent aux chercheurs d'apporter leur expertise sur des sujets extrêmement confidentiels, voire classifiés. L'armée française le fait très bien. Les experts doivent absolument nous éclairer sur ces sujets.

La Cnil doit également être un interlocuteur majeur. Elle n'a pas seulement vocation à protéger les libertés individuelles sur un plan quasi philosophique. Elle réunit en son sein une importante expertise technique et technologique sur l'analyse de la constitution de ces bases. Il est fondamental que les assemblées et le Gouvernement écoutent plus loin et plus fort les recommandations de la Cnil sur ces sujets.

Le rôle du Conseil national du numérique est de rester humble. Nous avons la chance de compter parmi nos trente membres bénévoles des experts du numérique, des chercheurs, des dirigeants de start-up ou de grands groupes qui se posent en permanence la question de la sécurité. Nous avons la maîtrise de ces sujets technologiques, et nous mettons cette maîtrise à la disposition du Gouvernement et du Parlement. Nous jouons le rôle d'interface avec la société civile et nous lançons des alertes quand cela nous semble nécessaire. C'est dans ce cadre que nous avons pris la parole sur ce sujet. Nous vous communiquerons prochainement les résultats de la consultation publique que nous menons.

Il s'est passé quelque chose d'important ces derniers jours. Je pense que le M. le ministre Bernard Cazeneuve a compris quelque chose. Nous restons vigilants, mais dans le partage et l'écoute.

Je vous remercie pour votre intervention. Nous en retiendrons que c'est le principe même du fichier qui est en cause, et que tous les efforts pour circonscrire le risque qui ont été engagés par le Gouvernement, notamment le fait que les personnes pourront ne pas accepter la saisie des éléments biométriques recueillis, ne sont pas de nature à apaiser votre inquiétude.

Je ne saurais être trop affirmatif, car pas plus que vous je n'ai eu accès à l'architecture technologique proposée. Comme je l'ai dit au ministre le premier jour où il a bien voulu me contacter : « deux bases séparées avec un accès unidirectionnel », cela ne veut rien dire et cela veut tout dire.

Peut-être que les avis de la Dinsic et de l'Anssi seront à même de nous rassurer, et que les experts s'accorderont à dire que cette architecture est la plus protectrice des libertés individuelles et des données personnelles dans le monde.

Mesdames, messieurs les sénateurs, il n'est pas trop tard. Nous ne sommes pas dans la contestation inutile, mais dans la volonté de trouver une solution assez rapidement. Une base, ce n'est que du code. Or le code fait loi, mais il est mou. On ne sera pas obligé de tout casser pour modifier cette base. On peut l'adapter, la faire évoluer. Cela ne veut pas dire que l'on mettra le budget initial à la poubelle : on réorientera les prochains développements.

Nous accueillons maintenant Mme Isabelle Falque-Pierrotin, présidente de la Cnil. Je lui rappelle que nous avons auditionné ce matin le ministre de l'intérieur, M. Bernard Cazeneuve, que nous venons d'auditionner le président du Conseil national du numérique, M. Mounir Mahjoubi. Nous aurons d'autres auditions, notamment du directeur général de l'Anssi, et nous n'excluons pas de consulter un certain nombre d'experts de ces questions. Par ailleurs, à la demande du Gouvernement et à la suite des recommandations que vous lui avez faites, nous débattrons demain de ces questions en séance publique.

C'est un sujet qui sur le plan des principes juridiques nous est relativement familier. Il y a plus de dix ans, mes collègues sénateurs ont planché sur cette question et amorcé la décision de créer un fichier pour prévenir l'usurpation d'identité. Le travail du Sénat avait débouché sur une proposition de loi de Jean-René Lecerf et Michel Houel. Débattu au cours de l'année 2011, ce texte avait donné lieu à un accord entre l'Assemblée nationale et le Sénat, lequel avait été bousculé par un amendement du Gouvernement qui avait empêché le Sénat de voter ce texte au début de l'année 2012. Le Conseil constitutionnel avait d'ailleurs donné raison au Sénat.

Toutefois, ce n'était pas les mêmes questions que celles qui nous sont posées aujourd'hui, parce que les finalités mêmes du fichier étaient en cause. Le fichier tel qu'il avait été modifié en dernière lecture par l'Assemblée nationale comportait en effet des finalités multiples, et non pas la seule finalité de sécurisation de la délivrance des titres d'identité.

Nos débats sont aujourd'hui suscités par un décret pris par le Gouvernement. Je crois que personne ne conteste le pouvoir du Gouvernement de prendre un décret dans ces matières compte tenu des dispositions mêmes de la loi de 1978, mais nous nous heurtons à des appréciations très divergentes du risque que ce fichier comporte, et nous nous rendons compte que, au-delà des dispositions juridiques, la question technique, technologique est tout à fait centrale.

Voilà les grandes lignes de la manière dont nous avons appréhendé ces questions. Je vous laisse maintenant la parole pour nous éclairer.

Monsieur le président, je vous remercie de me laisser la possibilité d'exprimer la position de la Cnil sur ce fichier, et ce qui fonde l'avis que nous avons rendu le 29 septembre.

Pour bien comprendre cet avis et les enjeux du débat, il faut d'abord se mettre d'accord sur la différence entre l'identification et l'authentification. L'authentification, c'est la possibilité d'être sûr qu'une personne qui prétend être M. X est bien M. X. L'identification, c'est une procédure qui permet d'identifier une personne, généralement au sein d'un groupe, à partir d'un élément d'identification comme une trace ou une empreinte.

Comme vous venez de le préciser à l'instant, monsieur le président, le débat sur la carte d'identité électronique, sur l'articulation entre les fonctions d'identification et d'authentification n'est pas nouveau. Il se déroule dans ces murs comme dans d'autres depuis 2010-2011.

Vous avez rappelé la proposition de loi Lecerf, qui était extrêmement ambitieuse, puisqu'elle proposait une carte d'identité combinant à la fois la base centrale, la puce et les objectifs d'identification et d'authentification. À l'époque, la Cnil s'était spontanément exprimée et avait pris position en formulant un certain nombre de réserves sur les risques constitutionnels de conservation en base centrale d'un grand volume de données biométriques. Comme vous l'avez rappelé, le Conseil constitutionnel avait censuré cette proposition de loi à la fois sur le volume, sur le nombre de personnes concernées, sur la sensibilité des données et sur ce double objectif d'authentification et d'identification.

Un autre dispositif a été examiné par la Cnil : le fichier TES des passeports, créé par le décret de 2005. Ce dernier texte permet uniquement une authentification par le biais des empreintes conservées au sein d'une base centrale. Plus précisément, le débat a porté sur le nombre d'empreintes conservées. Le nombre des empreintes surnuméraires a été réduit de huit à deux à la suite d'un arrêt du Conseil d'État.

Les diverses questions aujourd'hui débattues ne sont donc pas nouvelles.

Dans ce contexte, le but du nouveau fichier TES est clair : simplifier la délivrance des titres et rendre la fraude encore plus difficile. La Cnil n'a rien à dire à cet égard. La méthode suivie est d'ajouter à la base « passeports » la base « cartes nationales d'identité ». Est ainsi constituée une base centrale comprenant le nom, le prénom, l'adresse, deux empreintes digitales et la photographie numérique.

Concrètement, chaque fois qu'une demande de renouvellement de titre sera formulée, l'empreinte digitale de l'intéressé sera comparée à celle que contient la base centrale. On vérifiera s'il s'agit de la bonne personne, et si, auparavant, l'intéressé bénéficiait ou non d'un titre.

Les bases « passeports » et « cartes nationales d'identité » ayant vocation à être fusionnées, la comparaison biométrique pourra être faite avec toute empreinte préalablement enregistrée de part ou d'autre.

Pour ce qui concerne la délivrance du titre, il n'y aura pas de dispositif de reconnaissance faciale. La comparaison des données biométriques se limitera aux empreintes digitales.

Le Gouvernement a été sans ambiguïté : l'ensemble de ce dispositif est uniquement voué à l'authentification. Sa fonction n'est en aucun cas l'identification, qui est interdite juridiquement en vertu du texte du décret, et qui est techniquement impossible compte tenu de l'architecture du TES. On ne peut consulter la base centrale qu'en saisissant un nom et un prénom.

Enfin, à la différence du passeport, la carte nationale d'identité ne comportera pas de puce électronique.

Après avoir examiné ce projet, la Cnil a formulé les remarques suivantes.

Premièrement, avec cette base centrale constituée, la collecte des fichiers change totalement d'ampleur. Actuellement, 15 millions de personnes sont concernées. Demain, seront potentiellement inclus plus de 60 millions d'individus, soit l'intégralité de la population française.

Pour sa part, M. Cazeneuve nous a indiqué qu'à l'heure actuelle la base « passeports » comptait 29 millions de personnes.

Peut-être les titulaires d'un passeport sont-ils de plus en plus nombreux. Quoi qu'il en soit, avec le TES, le changement d'échelle est manifeste.

Deuxièmement, des données biométriques seront collectées. Ces dernières donnent énormément d'informations sur la personne, à laquelle elles sont rattachées de manière permanente. Elles sont donc sensibles, et même très sensibles.

Troisièmement, le TES a été proposé de manière exclusive : aucun autre système n'a été soumis à la Cnil. Pourtant, de tels dispositifs de substitution ont déjà été discutés.

Quatrièmement, sans faire de procès à quiconque - le TES a bien pour but l'authentification -, il est évident que les données réunies au sein de cette base susciteront d'immenses convoitises. Certains seront tentés de les détourner pour procéder à des opérations d'identification.

Cinquièmement, les bases centrales de cette nature sont très vulnérables : régulièrement, on constate des failles de sécurité, on éprouve des craintes sur ce front. La création d'un tel dispositif nous expose donc à un risque.

Compte tenu de tous ces éléments, qu'avons-nous proposé ?

La Cnil n'est pas un expert technique. Elle raisonne sur la base du projet qui lui a été soumis. Elle a, cependant, recommandé des mesures de substitution.

Tout d'abord, il nous semble préférable d'opter pour l'inscription de données biométriques sur une puce électronique. Cette solution permet tout à fait l'authentification. En outre, en évitant de recourir à une base centrale, elle limite les risques de détournement.

Ensuite, au lieu de procéder à l'enregistrement de l'image biométrique de l'empreinte, qui est très riche, nous suggérons de dégrader l'empreinte digitale par l'emploi d'un gabarit. Dès lors, seuls les gabarits, qui ne sont pas exploitables sans un traitement algorithmique, seraient stockés en base.

Enfin, et surtout, nous souhaitions que le Parlement soit saisi de ce dossier, non pas tant pour des questions juridiques qu'au nom de l'intérêt collectif : à nos yeux, il est indispensable que la représentation nationale décide en pleine connaissance de cause. La base de données ainsi créée serait d'une ampleur inédite. Elle contiendrait des données exhaustives et sensibles. Or, je le répète, elle serait susceptible de subir des attaques, alors même qu'elle serait extrêmement vulnérable sur le plan informatique.

J'ajoute que la création d'un tel instrument changerait la nature de la société dans laquelle nous vivons.

Bien sûr, la menace terroriste est évidente. Mais justifie-t-elle que l'État constitue un fichier enregistrant, de manière indélébile, des données portant sur l'ensemble de la population ? On nous opposera qu'il existe déjà le Fichier national des empreintes génétiques, le FNAEG, ou encore le Fichier automatisé des empreintes digitales, le FAED. Mais ces outils ne s'appliquent qu'à des populations ayant eu maille à partir avec la justice et qui sont donc « potentiellement dangereuses » - j'emploie ces termes avec toutes les précautions qui s'imposent. En l'occurrence, tel n'est pas le cas des personnes visées. La constitution préalable de preuves, portant sur des citoyens lambda n'ayant jamais eu affaire à la justice, modifie sensiblement notre rapport à la sécurité et même à la démocratie. Voilà pourquoi il nous paraît nécessaire que ce débat soit soumis aux deux assemblées du Parlement.

Je conclus en vous donnant le résultat des comparaisons internationales auxquelles nous avons procédé. Notre analyse n'est sans doute pas exhaustive. Toutefois, nous pouvons affirmer qu'en Europe aucun pays n'envisage actuellement de mettre en oeuvre un tel dispositif. Seule la Lituanie a créé une base comparable au TES. Mais ce pays a une histoire tout à fait spécifique et constitue une exception. Quant aux grands États d'Europe, soit ils n'ont aucune base informatique de cette nature comme l'Allemagne, soit ils conservent une étanchéité entre la carte d'identité et le passeport.

Madame Falque-Pierrotin, je vous remercie de cet exposé très complet, qui inspire de nombreuses questions et appelle même des réflexions d'ordre philosophique.

Si j'ai bien suivi votre démonstration, la Cnil a émis un avis favorable sur ce dispositif, car, à l'origine, elle jugeait certain qu'il ne pouvait être employé à des fins d'identification. Or, dans un second temps, vous avez estimé que vous vous deviez d'émettre des recommandations techniques.

Est-il techniquement possible de créer une base irréversible, un outil qui ne pourrait en aucun cas donner lieu à un travail d'identification ? La personne précédemment auditionnée a laissé planer un doute à ce propos.

Madame Falque-Pierrotin, la clarté de votre argumentation, que j'ai beaucoup appréciée, me conduit à vous poser cette question : sur ce sujet, quelle est l'opinion de la Cnil ? Préconise-elle de renoncer au TES, ou bien estime-t-elle qu'en exprimant un tel avis, elle outrepasserait ses compétences ?

Bien sûr - vous l'avez rappelé -, il faut se donner les moyens de lutter contre le terrorisme ; mais, dans le même temps, il faut préserver les libertés publiques. Par le passé, nous avons également pris des décisions en ce sens. Personnellement, je les assume pleinement.

Nonobstant les risques que vous indiquez, ne serait-il pas possible d'instaurer un tel fichier, dès lors que des autorités de contrôle seraient clairement désignées ? Dans l'affirmative, la Cnil ne pourrait-elle pas compter au nombre de ces dernières, ainsi que le Parlement, ou du moins certaines de ses instances ? Un tel contrôle vous paraîtrait-il praticable, sachant que les investigations seraient susceptibles d'être menées à tout moment ?

Même si aucun système n'est parfait, à votre connaissance, existe-t-il des techniques apportant un niveau de garantie plus élevé que le TES ?

La personne que nous avons précédemment auditionnée nous a assuré qu'aucun système informatique n'était absolument inviolable. En l'occurrence, le but principal serait de prévenir les usurpations d'identité, à la suite d'un vol de carte d'identité ou de passeport. On invoque également le terrorisme. En Syrie, des milliers de pièces d'identité ont bien été volées, mais il ne s'agit en aucun cas de documents français. Il faut bien l'admettre, on accommode le terrorisme à toutes les sauces pour instaurer des mesures de natures très diverses... En la matière, quelle sera l'utilité réelle du TES ? Tous les terroristes arrivant sur le sol français n'ont pas la nationalité française !

Techniquement, le TES a été construit de sorte à ne pouvoir être employé qu'à des fins d'authentification. Les données d'état civil et les empreintes biométriques ont été clairement séparées. Dès lors, les données biométriques ne peuvent être consultées que sur la base d'une identité précise.

On nous assure que cette architecture empêche le détournement des données, qu'il est impossible d'inverser la procédure pour rechercher une identité en partant de données biométriques, dans une logique qui serait celle de l'identification.

Toutefois, sur ce sujet, les computer scientists expriment des points de vue extrêmement variés. Certains d'entre eux assurent que la base pourrait être réorganisée par le biais d'un développement supplémentaire et que, dès lors, elle pourrait être interrogée différemment. La Cnil ne peut pas fournir davantage d'éléments sur ce sujet. Pour en savoir plus, il faudrait probablement consulter l'Anssi. J'observe simplement que, dans ce domaine, les spécialistes n'expriment pas une position univoque.

Si l'impossibilité technique est sans doute fragile, l'impossibilité juridique l'est extrêmement : il suffirait de modifier une ligne du décret pour permettre l'identification...

Dans de telles conditions, que faire ? Ce n'est pas à la Cnil de répondre à cette question, mais aux responsables politiques. Toutefois, si le but est bien l'authentification stricto sensu, on peut très bien se contenter d'apposer des puces électroniques sur les cartes d'identité.

Et qu'en serait-il des faussaires ?

Il serait possible de les démasquer au stade de la délivrance des titres, via la collecte des empreintes digitales.

Quant à la lutte contre le terrorisme, elle ne relève effectivement pas de l'authentification, mais de l'identification. Au demeurant, elle n'est pas mentionnée dans le dossier qui nous a été communiqué.

La Cnil l'a écrit dans son avis : elle est prête à concourir au contrôle de ce dispositif. Elle est même désireuse d'assumer cette mission. Il faut s'assurer que ce fichier sera employé à des fins strictement administratives. À cet égard, la Cnil exercera ses pouvoirs classiques de contrôle des fichiers publics.

Bien sûr, ce qui inquiète, ce n'est pas la situation actuelle. Mais veillons à ne pas laisser derrière nous une bombe à retardement. Il faut prendre toutes les décisions techniques qui s'imposent !

Cher collègue, si les pouvoirs d'État devaient tomber en de mauvaises mains, d'autres enjeux pourraient, hélas ! inspirer de plus vives inquiétudes.

Madame Falque-Pierrotin, qu'en est-il des solutions de substitution ? Vous ne me ferez pas croire que la Cnil n'en a pas débattu !

La Cnil n'a étudié que le dispositif de la puce électronique.

Et à quelles conclusions avez-vous abouti à ce sujet ?

Nos conclusions sont claires : en ajoutant une puce à la carte d'identité, on assure la fiabilité du titre et on écarte d'emblée les inconvénients liés à la base.

Personnellement, je m'interroge : comment s'assurer que le nom inscrit sur un tel titre électronique correspondra bien à l'identité réelle de celui qui le détiendra ?

À ce titre, le fichier TES aurait un autre intérêt : avec lui, on pourrait détecter une personne ayant précédemment disposé d'une autre carte d'identité. Le recours aux empreintes digitales ne permettrait-il pas de mettre en échec des tentatives d'usurpation d'identité, dans l'hypothèse où une erreur aurait été commise lors de la première délivrance de titre ?

Monsieur le président, il me semble que vous avez raison. En la matière, l'ajout d'une puce sur la carte d'identité permettrait d'atteindre 90 % des buts visés. En revanche, force est d'admettre qu'avec une telle méthode la détection de « vrais-faux titres », c'est-à-dire des titres viciés dès l'origine, resterait relativement difficile.

En l'occurrence, il faut se demander comment répondre au mieux aux objectifs en limitant au maximum les dérives. Nous sommes face à un calcul de risque.

Je reviens sur l'exemple de l'usurpation d'identité, qui est tout à fait intéressant. M. Bas suggère qu'en pareil cas on pourrait vérifier si telle ou telle empreinte biométrique figure déjà dans la base de données. Toutefois, tel qu'il est actuellement rédigé, le décret permet-il une semblable vérification ?

À mon sens, la réponse est oui. En revanche, on ne pourrait pas identifier la personne qui se cache derrière les empreintes digitales considérées.

C'est là un point essentiel, que nous devons impérativement vérifier.

Cette discussion me laisse un peu perplexe. Si un individu veut prendre l'identité de M. Durand, pourquoi écrirait-il sur sa carte d'identité qu'il s'appelle M. Dupont ? C'est là le principe même de l'usurpation d'identité !

Il faut effectivement sécuriser la chaîne de fiabilisation du titre dans son intégralité, de la délivrance jusqu'au renouvellement.

Madame Falque-Pierrotin, je vous remercie des éclairantes précisions que vous nous avez apportées. Dès le 18 octobre, j'ai, au nom de la commission des lois, exprimé la préoccupation du Parlement à cet égard. Bien sûr, le Parlement vote la loi, mais il exerce également des missions de contrôle, qui, en la matière, sont pleinement justifiées.

La réunion est suspendue à 18 h 05

- Présidence conjointe M. Philippe Bas, président, et de Mme Michèle André, présidente de la commission des finances -

La réunion est reprise à 18 h 35