Créée par simple décret le 28 octobre 2016, en plein état d’urgence, la base de données des titres électroniques sécurisés (TES) concrétise un projet maintes fois repoussé par le passé au nom des libertés individuelles : l’informatisation des données biométriques de toute la population (1). Ce mégafichier fusionne et perfectionne deux répertoires administratifs existants : celui des dossiers de demande de passeport biométrique (vingt-neuf millions en janvier 2017) et le fichier national de gestion des cartes d’identité (cinquante-neuf millions de cartes délivrées depuis 2004). Nom, prénom, date et lieu de naissance, sexe, filiation, couleur des yeux, taille, adresse, mais aussi image numérisée du visage, empreintes digitales et signature de chaque individu se trouvent ainsi centralisés et stockés pendant deux décennies (quinze ans pour les mineurs). « Cette exhaustivité comme la sensibilité des données biométriques présentent un risque de détournement de finalité », a déclaré la présidente de la Commission nationale de l’informatique et des libertés (CNIL), Mme Isabelle Falque-Pierrotin, lors de son audition au Sénat le 17 novembre 2016.
La biométrie sert en effet deux finalités distinctes : l’authentification et l’identification. L’authentification vise à déterminer si une personne est bien celle qu’elle prétend être. On compare pour cela ses données biométriques avec celles préalablement collectées de façon contrôlée lors de la demande du titre. Si les informations ne correspondent pas, l’individu a une autre identité, mais on ne peut savoir laquelle. L’identification, pour sa part, vise à retrouver l’identité associée à une trace biométrique collectée sur une scène de crime ou, par exemple, sur une personne amnésique. On compare ladite trace avec l’ensemble des données biométriques contenues dans une base de référence et, si une correspondance apparaît, l’identité de la personne est révélée. Le risque qu’un fichier administratif constitué dans un but d’authentification soit utilisé comme base de données policière à des fins d’identification motive le refus de mise en place d’un fichier biométrique centralisé depuis deux décennies. Ce fut par exemple le cas en 2012, lorsque le Conseil constitutionnel censura un précédent projet de modernisation du fichier national de gestion des cartes d’identité (2). Si le fichier TES ne permet pas en l’état d’identifier une personne à partir de ses empreintes, pareille fonctionnalité pourrait être développée sans difficulté.
Papiers et numéros
La prééminence de l’approche sécuritaire fait oublier les dangers d’une identification rigide et centralisée et écarte d’autres solutions plus respectueuses des autonomies individuelles. Pour saisir l’enjeu, un détour par l’histoire s’impose. Longtemps, l’identification se fonda sur l’oralité et les relations interpersonnelles de face à face. Dans l’affaire Martin Guerre, victime d’une usurpation d’identité jugée en appel à Toulouse en 1560, 300 personnes furent consultées, dont 280 déclarèrent que l’usurpateur n’était pas Martin Guerre. Avec la mobilité accrue des populations et l’affirmation du pouvoir étatique apparurent au XIXe siècle les identités de papier consignant le nom patronymique. Depuis la fin du XXe siècle, le recours à l’informatique aboutit à la différenciation de deux modalités principales d’identification : la numérotation et la biométrie, qui assure la reconnaissance d’un individu à partir de certaines caractéristiques corporelles (taille, couleur des yeux, etc.).
C’est au sein d’institutions fondées sur l’obéissance, comme la prison ou l’armée, que s’imposent les pratiques d’identification numérotée. L’exemple paroxystique est celui des camps de concentration nazis, où le numéro tatoué sur le bras servait une volonté de dépersonnalisation intégrale. À côté du nom patronymique, les États recourent à la numérotation de leur population pour certifier l’identité. En France, la création d’un numéro national d’identité remonte aux années 1940-1941. Elle répond à des objectifs patriotiques et militaires cachés à l’occupant. Utilisé ensuite par l’État-providence et la Sécurité sociale, ce numéro s’imposera bientôt comme une nécessité de gestion.
Au début des années 1970, l’informatisation du répertoire des numéros tenu par l’Institut national de la statistique et des études économiques (Insee) soulève une polémique : à partir de ce numéro unique à la disposition de tous les ficheurs, il s’agissait d’interconnecter divers fichiers informatisés concernant un individu. Cette lutte entraîna la nomination d’une commission de « sages », ainsi que le vote, en 1978, d’une loi qui donna naissance à la CNIL. Son principe : des obligations nouvelles pour les ficheurs et de nouveaux droits pour les personnes fichées.
Comme celle de la numérotation, l’histoire de la biométrie a pour acteurs principaux l’État et la population. Dans le dernier tiers du XIXe siècle, l’identification judiciaire sert de laboratoire pour expérimenter des techniques de reconnaissance : mesures du corps, prise des empreintes digitales. L’instauration en 1912 d’un carnet anthropométrique pour les populations nomades marque une date importante : elle assigne à des familles entières un document d’identification réservé jusqu’alors aux prisonniers et aux criminels (3). Les administrations coloniales l’imposeront également aux sociétés indigènes. Par le biais d’une carte d’identité, l’identification administrative s’étend et concerne bientôt les « gens honnêtes ». D’abord les étrangers, en 1917, puis les habitants du département de la Seine en 1921. C’est à la faveur de la débâcle de 1940 que le gouvernement de Vichy crée une carte d’identité obligatoire. Supprimée à la fin de la guerre, elle est rétablie en 1955, au début des « événements d’Algérie », mais demeure facultative et donne seulement lieu à l’élaboration de fichiers papier gérés à l’échelle départementale. En 1969, 75 % de la population en dispose.
Le premier projet d’informatisation de la carte d’identité date de 1980. Remis en question l’année suivante par le nouveau gouvernement socialiste, il revient en 1986 avec la proposition d’une « carte nationale sécurisée » centralisée et, surtout, la mise en place d’un fichier national de gestion, consultable en temps réel par la police et la gendarmerie en tous points du territoire. Repoussée à plusieurs reprises, l’informatisation des données biométriques de la population est remise à l’ordre du jour dans le contexte sécuritaire de l’après-11 septembre 2001. D’un côté, les États-Unis imposent pour l’entrée sur leur territoire un passeport biométrique sécurisé lisible par une machine. De l’autre, les gouvernements français successifs multiplient les lois qui convertissent les techniques d’information et de communication en technologies de contrôle. Le nombre des fichiers de police passe de trente-cinq en 2006 à quatre-vingts en 2015. Et les finalités se transforment. Ainsi, le système de traitement des infractions constatées (STIC), mégafichier créé à des fins d’enquêtes judiciaires, est progressivement utilisé pour des enquêtes administratives de moralité en 2001, pour l’instruction des demandes de nationalité française en 2003 et pour des enquêtes visant des personnes candidates à un emploi public en 2005. Il en va de même pour le fichier national des empreintes génétiques (Fnaeg), créé en 1998 pour les criminels sexuels récidivistes, étendu en 2003 aux auteurs des infractions les plus banales, puis transformé en 2016 en une forme de « fichier génétique des gens honnêtes » (4).
Le législateur a oublié l’histoire. Au cours de la seconde guerre mondiale, des dizaines de milliers de personnes n’ont échappé aux nazis qu’en changeant d’identité grâce à de faux papiers (5). Leur sort aurait été scellé si certains gouvernants des années 1930 avaient adopté le cadre de pensée des dirigeants actuels. Dans un rapport officiel publié en 1975, un haut fonctionnaire relatait un épisode riche d’enseignements : « Une équipe de Jeunes Turcs à laquelle je participais avait mis au point en 1938 un mirobolant projet de carte d’identité obligatoire des Français à partir de l’âge de 16 ou de 18 ans qui, à l’époque, aurait constitué un incontestable progrès en raison des moyens limités dont disposait la police pour lutter contre la criminalité. Au moment de présenter le décret à la signature du ministre, le secrétaire général du ministère de l’intérieur y renonça finalement, nous déclarant que, décidément, “il ne sentait pas la chose”. Si M. Jean Berthoin avait eu “moins de nez” et [s’était] laissé convaincre par ses fringants collaborateurs, qu’en aurait-il été deux ans plus tard de la Résistance, les Allemands n’ayant naturellement rien de plus pressé, dès leur entrée dans Paris, que de faire main basse sur le fichier central de la carte d’identité des Français ? »
Pour sortir de cette logique, deux approches offertes par une informatique décentralisée respectueuse des libertés ouvrent des perspectives particulièrement intéressantes. La première, baptisée « protection de la vie privée dès la conception » (privacy by design), intègre le respect des informations personnelles et des autonomies individuelles dès la phase de conception des systèmes informatiques. Ces derniers ne conservent alors que les données strictement nécessaires au traitement projeté : les entreprises de transports en commun n’ont par exemple aucune nécessité de conserver les photographies des voyageurs une fois celles-ci imprimées sur les cartes d’abonnement. Il s’agit également de conserver ces informations au plus près des personnes (plutôt que dans des bases) ou, à tout le moins, de conditionner la possibilité technique d’exploitation distante des données à une action positive (un accord conscient et informé), déverrouillant l’accès auxdites données.
La seconde approche, appelée « respect de la vie privée par défaut » (privacy by default), implique qu’un système informatique soit toujours initialement paramétré pour être le moins intrusif possible. Il revient alors à l’utilisateur de lever lui-même certaines de ces protections selon les services dont il souhaite bénéficier.
Ces deux approches, élaborées dans la sphère nord-américaine (6), sont recommandées par toutes les autorités de protection des données européennes. Le futur règlement européen sur la protection des données personnelles fait obligation aux responsables de traitements d’y recourir, même si cette démarche contrarie les intérêts des gouvernements et des entreprises.
Afin de restreindre la capacité de régimes autoritaires à mettre en œuvre des « rafles assistées par ordinateur », les éléments d’identification propres aux personnes devraient rester inaccessibles aux autorités de façon centralisée. Le principe de la conservation des données biométriques par les usagers eux-mêmes doit devenir la règle pour éviter leur centralisation dans une base. Il a déjà été mis en œuvre dans le cas des passeports biométriques, qui embarquent les données biométriques des personnes au sein d’une puce insérée dans le document, ces données étant « signées » au moyen d’une clé de chiffrement que seul l’État possède. Mais ces informations se trouvent également répliquées dans la base centralisée TES ; il importe de les en supprimer. Afin que nul ne puisse construire de tels fichiers par recoupements, aucun service public ne devrait conserver des données biométriques d’authentification, telles que les photographies des personnes, au sein de ses systèmes d’information.
D’autres solutions
Plus globalement, l’émergence de techniques de chiffrement robustes et simples d’utilisation, comme la cryptographie numérique à clé publique (7), doit conduire à repenser en profondeur la question de l’identité des personnes et des moyens de s’en assurer. Le rôle actuel de l’État comme autorité de délivrance des titres tient à sa capacité supposée à s’assurer de l’identité des demandeurs. Pour autant, on peut envisager d’autres systèmes plus décentralisés dans lesquels les familiers d’une personne attesteraient cette identité en signant cryptographiquement ses documents. Un tel mécanisme est déjà employé par les utilisateurs de la cryptographie pour signer les clés de leurs connaissances et ainsi augmenter leur niveau de confiance à l’égard de tiers. Une telle architecture correspondrait en fait à un retour aux fondements de l’identité en tant que connaissance partagée par les membres d’une communauté. Elle pourrait éviter le recours aux informations biométriques, d’usage délicat, car non révocables. Cependant, sous un régime autoritaire, elle aurait pour inconvénient majeur de rendre plus difficile l’établissement de faux papiers, de multiples personnes devant alors se porter garantes du détenteur du titre d’identité, et s’exposer avec lui.
L’irruption des technologies numériques doit amener à reconsidérer l’équilibre entre libertés et sécurité. Comme l’histoire l’a montré, les barrières juridiques s’avèrent d’autant plus fragiles que le pouvoir qui interdit une action peut être remplacé demain par un autre qui l’autorisera. Il s’agit donc de repenser en profondeur l’ensemble des processus administratifs conçus à une époque où les moyens numériques n’existaient pas. Les capacités de traitement toujours croissantes et la collecte massive de données engendrent un contrôle accru des personnes. Elles rendent nécessaire une nouvelle architecture des systèmes de gestion de l’identité. Et des garde-fous face à la perspective de convulsions historiques telles que les sociétés modernes en ont déjà connues.
François Pellegrini & André Vitalis
Respectivement professeur d’informatique à l’université de Bordeaux et professeur émérite de sciences de l’information et de la communication à l’université Bordeaux Montaigne.